Тестирование производительности и управление трафиком в iptables

Re: Тестирование производительности и управление трафиком в iptables

connection refused?

Re: Тестирование производительности и управление трафиком в iptables

Интересно такой же тестик для сравнения с OpenBSD, например. И для ipv6.

realloc (04.03.2005 16:56:17)

Re: Тестирование производительности и управление трафиком в iptables

Мне не совсем понятна практическая ценность такого сорта тестов, где

приводятся некоторые абсолютные цифры.

Другое дело, если бы автор показал, например, что netfilter на х%

быстрее того же pf или ipf?

Sun-ch (04.03.2005 17:00:44)

Re: Тестирование производительности и управление трафиком в iptables

у вас всё показывается? у меня connection failed. если есть возможность можете куда-нить выложить это дело?

Re: Тестирование производительности и управление трафиком в iptables

> Мне не совсем понятна практическая ценность такого сорта тестов, где

Такие тестики какраз помогают понять какие машинки ставить в какие углы сети и до каких пределов их можно будет нагружать.

realloc (04.03.2005 17:04:09)

Re: Тестирование производительности и управление трафиком в iptables

> Мне не совсем понятна практическая ценность такого сорта тестов, где приводятся некоторые абсолютные цифры.

Ценоость (некоторая) для того, кто пользовать соберётся. Если у меня уже linux то подобные оценки могут сказать, что скорость работы приемлимая (или же нет). В этом случае, сравнение с другими fw - не обязательно. Хотя и не было бы лишним...

atrus (04.03.2005 17:07:11)

Re: Тестирование производительности и управление трафиком в iptables

Фигня это все.

В реальной жизни, обычно обрабатываются пакеты, устанавливающие

соединение а дальше только отслеживается состояние (keep-state)

Sun-ch (04.03.2005 17:10:25)

Re: Тестирование производительности и управление трафиком в iptables

> Фигня это все.

> В реальной жизни, обычно обрабатываются пакеты, устанавливающие соединение а дальше только отслеживается состояние (keep-state)

По флажкам tcp пакета смотреть можно, а вот по udp не судьба :-( Но даже по tcp это не спасает от левого трафика.

Спасает конечно conntrack, а теперь появилась даже надежда, что он и для ipv6 будет.

Re: Тестирование производительности и управление трафиком в iptables

>По флажкам tcp пакета смотреть можно, а вот по udp не судьба

у pf есть keep state для udp пакетов: считает промежутки времени между пакетам что-ли, но мне всегда внушала недоверие такая особенность; хотя вроде работает...

Pi (04.03.2005 18:08:02)

Re: Тестирование производительности и управление трафиком в iptables

> быстрее того же pf или ipf?

Нет, он не быстрее, он просто работает на нескольких десятках тысяч
правил... в отличие от того же pf ;)

annonymous (04.03.2005 20:06:01)

Re: Тестирование производительности и управление трафиком в iptables

имхо неправильный и ничего не показывающий тест.

вот если попробовать матчить надо на основе src/dst ip, да на роутере/бридже, вот тогда видно насколько iptables тормоз и насколько нуждается в кардинальном изменении(всякие bsd pf/ipf кстати ненамного отличаются)

пример того КАК надо это делать и как надо матчить правила - nf-hipac (http://hipac.org/), но к сожалению проект можно считать мертвым, так как для 2.6 рабочих версий нет, а для 2.4 последняя версия под 2.4.25, и та иногда валится.

devil (05.03.2005 13:51:06)

4k

> у pf есть keep state для udp пакетов
у iptables тоже есть нечто подобное, иначе NAT для UDP был бы просто невозможен

mumpster (05.03.2005 16:32:29)

4k

> идно насколько iptables тормоз
бред - hipac сделан на основе iptables
"which traverses the rules in a chain linearly per packet until a matching rule is found "
- ну так сделай ветвление! сразу получишь сущственный выигрыш
я так скажу - в наше время PIV и PCI-X - это уже небольшая проблема
даже с шифрованием трафика 10мбит эзер не может выйти за пределы 0.00 0.00 0.00 :-)

mumpster (05.03.2005 16:36:25)