> Inca o data: > - aceasta verificare consuma timp, timp care creste exponential > cu dimensiunea chain-ului.
Nu neaparat. iptables probabil foloseste hash :) Si sincer, sunt situatii cand folosesti un sistem automat care introduce o regula si apoi o scoate din chain. Daca din intamplare adaugi fara verificare aditionala o regula (si se adauga :( ) si apoi se mai adauga una la aceeasi conditie si vrei sa scoti regula, ti-o va scoate numai pe ultima, mai ramane una, ceea ce va implica functionarea eronata a sistemului proiectat. Ca sa se poata preveni, ar trebui sa faci ceva de genul: STRVAR=$(iptables -nvL | grep DROP/ACCEPT/CACA | grep IP | grep ethX | grep alte conditii (e doar un exemplu, nu-mi sariti in cap ca se poate optimiza:))) if [ -x "$STRVAL" ]; then iptables -A blah blah fi pentru a verifica daca mai am regula respectiva inainte de a adauga, ceea ce consuma ceva timp, in special la un chain de mii de reguli, mai mult timp decat ar consuma o verificare cu hash. Bineinteles ca verificarea in cazul asta s-ar face in userspace... Correct me if I'm wrong... -- Claudiu Cismaru GPG Key: http://maya.cnixs.com/~claudiu/claudiu.gpg --- Detalii despre listele noastre de mail: http://www.lug.ro/
