URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 86158
[ Назад ]

Исходное сообщение
"Много правил в iptables - как разгрузить?"
Отправлено Rom1 , 01-Авг-09 17:34

Debian/Linux
В iptables есть несколько "плоских" цепочек с тысячами правил. В основном маркировка пакетов для расширенной маршрутизации, на основании IP-источника.
Задача - разгрузить машину, путем уменьшения пути прохождения пакета.
Где-то видел пример как в каждой цепочке сделать по 255 дочерних цепочек, а в них направлять уже по последним цифрам IP-адреса, например пакет в цепочке MAIN_CHAIN IP=10.X.Y.123 направлять в цепочку SUB_CHAIN_123, а уже в ней принимать решение о маркировке.
Вроде таким образом можно снизить путь прохождения пакета в ~255 раз.
Может кому такой механизм знаком, поделитесь пожалуйста решением.

Содержание

Много правил в iptables - как разгрузить?,reader, 18:54 , 01-Авг-09
- Много правил в iptables - как разгрузить?,Rom1, 21:04 , 01-Авг-09
  - Много правил в iptables - как разгрузить?,reader, 22:11 , 01-Авг-09
    - Много правил в iptables - как разгрузить?,Rom1, 19:11 , 03-Авг-09

Сообщения в этом обсуждении

"Много правил в iptables - как разгрузить?"
Отправлено reader , 01-Авг-09 18:54

>[оверквотинг удален]
>
>Задача - разгрузить машину, путем уменьшения пути прохождения пакета.
>
>Где-то видел пример как в каждой цепочке сделать по 255 дочерних цепочек,
>а в них направлять уже по последним цифрам IP-адреса, например пакет
>в цепочке MAIN_CHAIN IP=10.X.Y.123 направлять в цепочку SUB_CHAIN_123, а уже в
>ней принимать решение о маркировке.
>Вроде таким образом можно снизить путь прохождения пакета в ~255 раз.
>
>Может кому такой механизм знаком, поделитесь пожалуйста решением.
а что мешает проверять из какой подсети пакет и переходить на созданную именно для этой подсети цепочку?

"Много правил в iptables - как разгрузить?"
Отправлено Rom1 , 01-Авг-09 21:04

>а что мешает проверять из какой подсети пакет и переходить на созданную
>именно для этой подсети цепочку?
Да собственно подсетей несколько меньше чем 255, поэтому и ищу решение.
Хотя нашел эту опцию - это модуль u32. Но только он у меня чей-то не хочет работать, может path-o-matic накатить надо?

"Много правил в iptables - как разгрузить?"
Отправлено reader , 01-Авг-09 22:11

>>а что мешает проверять из какой подсети пакет и переходить на созданную
>>именно для этой подсети цепочку?
>
>Да собственно подсетей несколько меньше чем 255, поэтому и ищу решение.
>Хотя нашел эту опцию - это модуль u32. Но только он у
>меня чей-то не хочет работать, может path-o-matic накатить надо?
не понял каким образом он поможет
http://www.protocols.ru/modules.php?name=News&file=print&sid...
может имелось ввиду типа
http://forum.nag.ru/forum/index.php?showtopic=47487&st=0
но там u32 не к iptables

"Много правил в iptables - как разгрузить?"
Отправлено Rom1 , 03-Авг-09 19:11

>не понял каким образом он поможет
>http://www.protocols.ru/modules.php?name=News&file=print&sid...
>
>может имелось ввиду типа
>http://forum.nag.ru/forum/index.php?showtopic=47487&st=0
>
>но там u32 не к iptables
Спасибо за ссылки, прочитал все еще несколько раз, выводы сделал такие:
1) u32 в iptables будет работать только после накатывания POM (чего я врадли буду делать)
2) u32 в сам по себе не даст ничего нового в iptables для реализации поставленной задачи, уж лучше подсетями регулировать, как предложил reader
3) u32 можно успешно использовать в TC для динамической маршрутизации и шейпинга, но только при условии "хитрого" использования множества встроенных цепочек (как мне и надо сделать в iptables)
Кароч попробую обойтись подсетями.