> > numarul mediu de atingeri a regulilor scade de la 127 la 16. > dar oricum nu iti vor trece toate pechetele prin lanturile lungi > pentru ca teoretic in FORWARD ai pe la inceput o regula cu --state > ESTABLISHED -j ACCEPT, si de aici majoritatea pachetelor nu iti mai > parcurg celelalte lanturi.
Asta stiam. > in plus se mai poate face un artificiu de calcul prin studierea > traficului. daca urmaresti un timp ce se vehiculeaza prin retea, poti > sa muti regulile cu hit-rateul mai mare mai in fata. Da, trebuie sa scrii soft, pentru un trafic neuniform in timp. > hashul se poate aplica in principiu daca vrei sa cauti ceva intr-o > lista. netfilterul nu e asa de mult o problema de cautare, cat e de > interpretare. daca stai sa te gandesti e la fel cu cacheul L1 din Functia de hash poti s-o scrii in ce fel vrei tu. Sa zicem ca ar putea face hash pe structura din kernel a regulei! Sau pe IP sau pe bucati din structura. Apoi cautat in lista de hashuri regula mai exacta. Performanta nu se simte la cateva reguli. Dar la cateva mii cred ca ar incepe sa se observe, cred. Daca nu exista face parcurgere de la prima regula in caz in care matchuieste ceva mai general. Daca exista face parcurgere incepand cu ea in jos. Dar nu se poate aplica la mangle, de exemplu. Sau faca la partea de matching, asta. Dunno. -- Claudiu Cismaru GPG Key: http://maya.cnixs.com/~claudiu/claudiu.gpg
pgpFSi1ayv5UR.pgp
Description: PGP signature
_______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug
