О iptables, ядре и производительности

О 1000 я тоже слышал, но я сам считаю, что если сервер имеет хорошую аппартную базу, то ему и 2000 будут по силам

чтоб не тормохило, правила нужно грамотно оптимизировать
т.е. раскидывать по цепочкам...
в общем, rtfm ;)

Это понятно, но я думаю все равно предел есть.

Например (*теоретически*), может ли P1 200Mhz в качестве шлюза обслуживать 500-1000 клиентов? Пусть даже при толково написанных правилах, но их так или иначе будет довольно много, разве нет?

>если сервер имеет хорошую аппартную базу

понятно, что если поставить на шлюз какой-то P VIII, то все будет ок.

А вот где граница между "можно" и "нужно"?

вопрос больше не в колличестве клиентов а в толщине канала , если канал 100Мб то и 2 клиентов хватит чтоб загрузка проца была 60-80%% а если канал на 1Мб то думаю и с 500 клиентами особой нагрузки не будет

Правда если будет много правил -j LOG то опять таки нагрузка сильно возрастёт

> вопрос больше не в колличестве клиентов а в толщине канала

Что верно? то верно.

Как показано практикой для разруливания одной NIC 100Мб необходимо примерно 200 Mhz CPU.

А насчёт хорошей аппаратной базы я имел ввиду 2-х, 4-х процессорные системы.

>одной NIC 100Мб необходимо примерно 200 Mhz

Хочешь сказать, что в *локалке* сервер PII300 нафаршированный сервисами будет иметь 100% CPU usage?

> ... в *локалке* сервер PII300 нафаршированный сервисами будет иметь 100% CPU usage?

Не будет. Опять же, если правильно строить дерево фильтрации, то и на 
большом кол-ве клиентов не будет болшьшой нагрузки на сервер.
Да ты и сам можешь это проверить, устрой хотя бы flood-ping с 10-20
 машин в локалке и смотри CPU-util.

P2-350 шлюзит 10 компов, правил несколько сотен. CPU ~ 10%. Канал -- unlim по UA-IX, 2 mb в мир.

в довесок: суммарный траффик на выход -- порядка 8-10 мбит/сек, на вход в два раза меньше.

Спасибо