Linux软防火墙ACL匹配的优化点
首先,请求不要再诬陷Netfilter!虽然它有一些固有性能损耗,但敬请不要将iptables和Netfilter等同,如果你要抓元凶,请直接说iptables,而不要说成Netfilter!
iptables真的是弱爆了!它的ipt_do_table竟然是五大元凶之一,如果规则超过了7000,那么它就是之首(其它的元凶是nf_conntrack函数,它们也是Netfilter的HOOK)。iptables低效的原因在于它的ACL规则没有经过预处理,直接使用人类配置的方式和顺序让数据包逐个匹配,就跟在Linux协议栈中路由表没有转换成转发表而直接让数据包执行最长前缀匹配一样!这不是Linux的错,也不是Netfilter的错,而是你的错。你咋就不试着使用或者修改nf-HiPAC呢?
ACL的元素匹配可以分为“与”和“或“,一般认为,与操作在同一条规则内进行,而或操作则表示不同的规则,比如下面的规则:
iptables -A FORWARD -d $ip1 -p tcp -j DROP
iptables -A FORWARD -d $ip2 -p udp -j DROP
其中,ip1和tcp以及ip2和udp就是与操作,而两条规则则是或操作,如果我们进行分组,就会得出同组要串行,不同组可并行操作的结论。
如果将两条规则进行预处理,重新颠倒分组,我们能否不按规则而按匹配元素来重新分组呢?这么做是有理由的,因为匹配元素的数量是固定的,而规则数量则是不固定的,我们必须在海量元素之间可以执行快速的查找算法而不是顺序遍历匹配的算法,因此必须不能让海量元素作为同组元素串行。在ACL匹配过程中,遍历和快速查找都是需要的(前面说过的,同组串行-只能遍历,异组并行-可执行任意算法),但是必须记住的是,不要按照规则将规则分到一个组,而要以匹配元素为分组基准。要知道,人的理解方式和计算机的处理方式是完全不同的,甚至是相反的。
大多数的防火墙产品(Cisco,华为的暂不说,XXWRT的都有类似的补丁,也许?嗯,好象是真的,虽然我没有亲见,只是猜的...)都对待人工敲进去的ACL规则链都进行了预处理,这其实也是nf-HiPAC的方式,我之前写过几篇相关的文章。而Linux的iptables并没有任何的预处理,这就是它低效的原因,但这种低效不能归结到Linux或者Netfilter身上,请明悉。
这个周末有点真又十分假!台风盼了又没来,擦过!我早在几天就对台风登陆报太大的希望,虽然气象台一直吵吵嚷嚷...他们这帮人都是根据历史数据进行大数据分析的,根本就不明白西风带,台风,副高,上海的纬度之间的关系,我前几年分析过这个,只是没有发表,气象论坛的帐号丢了,且级别也不高,在IT论坛搞这个又有点清高,只能心里空自叹了。昨天上海嘉定区雨不算大,中雨水平吧,我没打伞出去搞了一会儿灵感,结果回来跟老婆吵架...唉,如此自己喜欢的好天气竟然泡汤了,下午雨势稍微大了一些,傍晚还可以,哄好了老婆一起去出去吃饭,闹市区好一个安静,周末晚饭点好一个不用排队!我自己淋着大雨出饭店买泡芙,看见俩老外手里拿着伞但是没打开却淋着雨,瞬间有一种找到组织的感觉,随性就好,干嘛跟着别人或者大众的路子走啊。我喜欢下雨天,所以下雨天我不会打伞,如果有人较真儿说为什么看见我打伞了,我会告诉他,我喜欢下雨,可我的手机不喜欢....
Linux软防火墙ACL匹配的优化点相关推荐
- 主机防火墙配置模板linux,主机防火墙的设置与优化
一.设置主机防火墙. 开放: 服务器的:web服务.vsftpd 文件服务.ssh远程连接服务.ping 请求. 1.开放sshd服务 开放流入本地主机,22端口的数据报文.[root@stu13 ~ ...
- Linux之防火墙策略
linux之防火墙策略 什么是防火墙 众所周知,相较于企业内网,外部的公网环境更加恶劣,罪恶丛生.在公网与企业内网之间充当保护屏障的防火墙虽然有软件或硬件之分,但主要功能都是依据策略对穿越防火墙自身的 ...
- Linux iptables防火墙设置与NAT服务配置
Linux iptables防火墙设置与NAT服务配置 - 摘要: linux教程,NAT服务器,iptables防火墙设置与NAT服务配置, 防火墙是指设置在不同网络或网络安全域之间的一系列部件的组 ...
- linux 内核连接跟踪,Linux内核连接跟踪锁的优化分析(1)
Linux内核连接跟踪锁的优化分析(1) 作者:gfree.wind@gmail.com 博客:linuxfocus.blog.chinaunix.net 微博:weibo.com/glinuxer ...
- linux防火墙ddos,Linux iptables防火墙详解 + 配置抗DDOS***策略实战
Linux iptables防火墙详解 + 配置抗DDOS***策略实战 Linux 内核中很早就实现了网络防火墙功能,在不同的Linux内核版本中,使用了不同的软件实现防火墙功能. 在2.0内核中, ...
- Linux网络防火墙:iptables与netfilter
目录 netfilter iptables iptables示例 nftables 参考文档 iptables是一个配置Linux内核防火墙的命令行工具,它基于内核的netfilter机制.新版本的内 ...
- linux 网桥防火墙,linux透明防火墙(网桥形式).doc
linux透明防火墙(网桥形式).doc 还剩 9页未读, 继续阅读 下载文档到电脑,马上远离加班熬夜! 亲,喜欢就下载吧,价低环保! 内容要点: 又如,对于 ftp 连接可以使用下面的连接跟踪:(1 ...
- redhat linux 禁用网卡,RedHat Linux下防火墙配置技巧
RedHat Linux下防火墙配置技巧 发布时间:2012-07-13 16:34:57 作者:佚名 我要评论 RedHatLinux为增加系统安全性提供了防火墙保护.防火墙存在于你的计算机 ...
- Linux iptables 防火墙 添加删除 端口
Linux iptables 防火墙 添加删除 端口 ps:本人亲测,阿里云2核4G5M的服务器性价比很高,新用户一块多一天,老用户三块多一天,最高可以买三年,感兴趣的可以戳一下:阿里云折扣服务器 一 ...
最新文章
- selenium自学笔记---ecshop购买脚本 xpath定位元素(下拉框,单选框)
- 巨鲸任务调度平台:spark flink任务调度
- HDU2091 空心三角形 水题
- crudandroidandroid——CRUD(在上一篇博客的基础上)
- mysql设计资源目录售卖_MySQL目录设计一些策略_mysql
- 置顶图片代码加链接html,css图片怎么加链接?
- matlab信号内插,基于VC++和Matlab的数字信号内插处理系统
- poi 设置word表格颜色_POI工具练习
- opengl 坐标的基本变换
- OSG仿真案例(7)——osg自动驾驶
- New:Spire.Office for Java 7.7.1 Not Crack
- 简单的 C/C++ 项目自动化构建--Xmake
- SEO专用虚拟主机横空出世
- Espresso测试框架的使用
- php tipask yii 单点登录_Tipask问答系统 php版 v3.3.1 正式版
- DeepSpeed Chat: 一键式RLHF训练,让你的类ChatGPT千亿大模型提速省钱15倍
- 【031】基于51单片机的超声波倒车雷达系统(带温度显示补偿)Proteus仿真设计
- R3300L Android相关的记录
- 自然语言处理之Word2Vec
- [global::]是什么形式?什么意思?