首先,要求不架Netfilter再次。虽然也有一些固有的
性能损失,请不要把iptables防火墙。如果你想抓住罪犯,请说iptables直接,而不是Netfilter。
iptables是很弱的。其ipt_do_table实际上是五个主要
原因。如果超过7000,则是重中之重(其他的罪魁祸首是nf_conntrack
功能,他们也Netfilter钩子),原因是它的低效率的iptables的ACL规则无需预
处理,人力
配置方法和
命令的数据包直接使用,一个接一个,与Linux协议栈到
路由表没有转发表直接让数据包
执行最长前缀匹配!这并不是Linux的Netfilter的过错,不错,但是你错了。你为什么不尝试使用或
修改NF HiPAC
ACL的元素匹配可以分为或,,或,一般认为是在同一规则内
运行,或
操作指示不同的规则,如以下规则:
iptables -向前D $ IP1 -p tcp J滴
iptables -向前D $ IP2 P UDP J滴
其中,IP1和IP2和TCP和UDP业务,而两个规则操作。如果我们组,得出一组应该是可序列化的,不同的组可以
并行操作。
如果预处理的两个规则,数据包重新逆转,我们不能根据规则匹配的元素重新分组,这是有原因的,因为匹配元素的数目是固定的,而规则的数量是不固定的,我们必须在元素之间的质量可以迅速地进行和
搜索算法遍历序列匹配算法,因此,不能让大众元素在匹配过程中的serial.acl同组元素,遍历和快速搜索是必要的(此前,只有遍历序列,同组异组并行执行任何算法),但必须记住的是不能与按规则分为一组,并匹配元素包的基础。你知道,人们理解的方式和
计算机如何处理它是完全不同的,甚至相反。
大多数的防火墙产品(Cisco、华为暂时说,xxwrt具有类似的补丁,也许吧,真的,我不知道,只是想…)治疗人工敲到ACL规则链进行预处理,这是nf HiPAC,我写了几篇相关的文章之前,Linux不iptables有任何预处理,这就是为什么它是低效率的,但这种低效不能归因于Linux Netfilter。