linux软防火墙ACL匹配优化的linux教程介绍

首先，要求不架Netfilter再次。虽然也有一些固有的性能损失，请不要把iptables防火墙。如果你想抓住罪犯，请说iptables直接，而不是Netfilter。
iptables是很弱的。其ipt_do_table实际上是五个主要原因。如果超过7000，则是重中之重（其他的罪魁祸首是nf_conntrack功能，他们也Netfilter钩子），原因是它的低效率的iptables的ACL规则无需预处理，人力配置方法和命令的数据包直接使用，一个接一个，与Linux协议栈到路由表没有转发表直接让数据包执行最长前缀匹配！这并不是Linux的Netfilter的过错，不错，但是你错了。你为什么不尝试使用或修改NF HiPAC
ACL的元素匹配可以分为或，，或，一般认为是在同一规则内运行，或操作指示不同的规则，如以下规则：
iptables -向前D $ IP1 -p tcp J滴
iptables -向前D $ IP2 P UDP J滴
其中，IP1和IP2和TCP和UDP业务，而两个规则操作。如果我们组，得出一组应该是可序列化的，不同的组可以并行操作。
如果预处理的两个规则，数据包重新逆转，我们不能根据规则匹配的元素重新分组，这是有原因的，因为匹配元素的数目是固定的，而规则的数量是不固定的，我们必须在元素之间的质量可以迅速地进行和搜索算法遍历序列匹配算法，因此，不能让大众元素在匹配过程中的serial.acl同组元素，遍历和快速搜索是必要的（此前，只有遍历序列，同组异组并行执行任何算法），但必须记住的是不能与按规则分为一组，并匹配元素包的基础。你知道，人们理解的方式和计算机如何处理它是完全不同的，甚至相反。
大多数的防火墙产品（Cisco、华为暂时说，xxwrt具有类似的补丁，也许吧，真的，我不知道，只是想…）治疗人工敲到ACL规则链进行预处理，这是nf HiPAC，我写了几篇相关的文章之前，Linux不iptables有任何预处理，这就是为什么它是低效率的，但这种低效不能归因于Linux Netfilter。