Andrew Kornilov <[EMAIL PROTECTED]>
writes:
>Alexander SUre Podkopaev <[EMAIL PROTECTED]> writes:
>> Что-то я не пойму, что вы паритесь? Сбивает с толку -j[ump] - типа, переход?
>> Нету его там, там скорее procedure call :-)
>> -j MARK --set-mark только ставит метку и "идет дальше", до конца цепочки или -j RETURN
>> А если у вас пакет попадает под ДВА правила сразу, значит, правила нужно уточнять.
>> А иначе классическая "дилемма мартышки - толи к умным, толи к красивым".
>Уточнять правила больше некуда.
ИМХО, если пакет попадает под два правила с разным mark - правила
НУЖНО уточнять (уточнять в данном случае может означать дробить на
более мелкие группы портов\адресов). Если же mark один - то и -j RETURN может быть один в конце.
>Придется городить ненужный return на каждое правило и грузить CPU избыточными операциями.
1. Если понять, что -J MARK это не jump, а subroutine call,и их может быть несколько - то становиться понятным, что -j RETURN в вашем случае НУЖЕН. У меня на одном сервере есть специальная цепочка для -m state --state NEW, там для хоста динамически создается\убивается 4 разных правила set-mark + restore-mark + RETURN. Но там скорости ADSLные.
2. Сколько предполагается правил, что Вы боитесь перегрузить ЦПУ? Или у вас скорости 100Мб\с и выше?
_______________________________________________ Sysadmins mailing list [email protected] https://lists.altlinux.org/mailman/listinfo/sysadmins
