將按以下規則的iptableIPTable參數順序是否影響性能?
iptables -I FORWARD -p tcp -m set --match-set HUUUGE_SET dst --dport 80 -j REJECT
比這個
iptables -I FORWARD -p tcp --dport 80 -m set --match-set HUUUGE_SET dst -j REJECT
與DPORT包效率較低!= 80
換句話說,是爲了在其中指定參數的順序與它們被檢查的順序相同,或者iptables是否有某種預定/優化的參數檢查順序。
謝謝!
AFAIK,iptables的參數將被封送到一個結構中,並被送入netfilter內核模塊,所以參數的順序完全不影響性能。
這是一個測試:
# iptables -N test
# iptables -A test -p tcp --dport 80 -s 10.0.0.1 -j DROP
# iptables -A test -p tcp -s 10.0.0.2 --dport 80 -j DROP
# iptables-save | grep test
:test - [0:0]
-A test -s 10.0.0.1/32 -p tcp -m tcp --dport 80 -j DROP
-A test -s 10.0.0.2/32 -p tcp -m tcp --dport 80 -j DROP
#
正如你所看到的,無論爲了您鍵入的匹配參數,iptables-save(其中轉儲netfilter的規則集當前在內存中的活動)「規範化」的順序。
我想這是有道理的。謝謝! – rmanna