首先,请求不要再诬陷Netfilter!虽然它有一些固有性能损耗,但敬请不要将iptables和Netfilter等同,如果你要抓元凶,请直接说iptables,而不要说成Netfilter!
       iptables真的是弱爆了!它的ipt_do_table竟然是五大元凶之一,如果规则超过了7000,那么它就是之首(其它的元凶是nf_conntrack函数,它们也是Netfilter的HOOK)。iptables低效的原因在于它的ACL规则没有经过预处理,直接使用人类配置的方式和顺序让数据包逐个匹配,就跟在Linux协议栈中路由表没有转换成转发表而直接让数据包执行最长前缀匹配一样!这不是Linux的错,也不是Netfilter的错,而是你的错。你咋就不试着使用或者修改nf-HiPAC呢?
       ACL的元素匹配可以分为“与”和“或“,一般认为,与操作在同一条规则内进行,而或操作则表示不同的规则,比如下面的规则:
iptables -A FORWARD -d $ip1 -p tcp -j DROP
iptables -A FORWARD -d $ip2 -p udp -j DROP

其中,ip1和tcp以及ip2和udp就是与操作,而两条规则则是或操作,如果我们进行分组,就会得出同组要串行,不同组可并行操作的结论。
       如果将两条规则进行预处理,重新颠倒分组,我们能否不按规则而按匹配元素来重新分组呢?这么做是有理由的,因为匹配元素的数量是固定的,而规则数量则是不固定的,我们必须在海量元素之间可以执行快速的查找算法而不是顺序遍历匹配的算法,因此必须不能让海量元素作为同组元素串行。在ACL匹配过程中,遍历和快速查找都是需要的(前面说过的,同组串行-只能遍历,异组并行-可执行任意算法),但是必须记住的是,不要按照规则将规则分到一个组,而要以匹配元素为分组基准。要知道,人的理解方式和计算机的处理方式是完全不同的,甚至是相反的。
       大多数的防火墙产品(Cisco,华为的暂不说,XXWRT的都有类似的补丁,也许?嗯,好象是真的,虽然我没有亲见,只是猜的...)都对待人工敲进去的ACL规则链都进行了预处理,这其实也是nf-HiPAC的方式,我之前写过几篇相关的文章。而Linux的iptables并没有任何的预处理,这就是它低效的原因,但这种低效不能归结到Linux或者Netfilter身上,请明悉。
       这个周末有点真又十分假!台风盼了又没来,擦过!我早在几天就对台风登陆报太大的希望,虽然气象台一直吵吵嚷嚷...他们这帮人都是根据历史数据进行大数据分析的,根本就不明白西风带,台风,副高,上海的纬度之间的关系,我前几年分析过这个,只是没有发表,气象论坛的帐号丢了,且级别也不高,在IT论坛搞这个又有点清高,只能心里空自叹了。昨天上海嘉定区雨不算大,中雨水平吧,我没打伞出去搞了一会儿灵感,结果回来跟老婆吵架...唉,如此自己喜欢的好天气竟然泡汤了,下午雨势稍微大了一些,傍晚还可以,哄好了老婆一起去出去吃饭,闹市区好一个安静,周末晚饭点好一个不用排队!我自己淋着大雨出饭店买泡芙,看见俩老外手里拿着伞但是没打开却淋着雨,瞬间有一种找到组织的感觉,随性就好,干嘛跟着别人或者大众的路子走啊。我喜欢下雨天,所以下雨天我不会打伞,如果有人较真儿说为什么看见我打伞了,我会告诉他,我喜欢下雨,可我的手机不喜欢....

Linux软防火墙ACL匹配的优化点相关推荐

  1. 主机防火墙配置模板linux,主机防火墙的设置与优化

    一.设置主机防火墙. 开放: 服务器的:web服务.vsftpd 文件服务.ssh远程连接服务.ping 请求. 1.开放sshd服务 开放流入本地主机,22端口的数据报文.[root@stu13 ~ ...

  2. Linux之防火墙策略

    linux之防火墙策略 什么是防火墙 众所周知,相较于企业内网,外部的公网环境更加恶劣,罪恶丛生.在公网与企业内网之间充当保护屏障的防火墙虽然有软件或硬件之分,但主要功能都是依据策略对穿越防火墙自身的 ...

  3. Linux iptables防火墙设置与NAT服务配置

    Linux iptables防火墙设置与NAT服务配置 - 摘要: linux教程,NAT服务器,iptables防火墙设置与NAT服务配置, 防火墙是指设置在不同网络或网络安全域之间的一系列部件的组 ...

  4. linux 内核连接跟踪,Linux内核连接跟踪锁的优化分析(1)

    Linux内核连接跟踪锁的优化分析(1) 作者:gfree.wind@gmail.com 博客:linuxfocus.blog.chinaunix.net 微博:weibo.com/glinuxer ...

  5. linux防火墙ddos,Linux iptables防火墙详解 + 配置抗DDOS***策略实战

    Linux iptables防火墙详解 + 配置抗DDOS***策略实战 Linux 内核中很早就实现了网络防火墙功能,在不同的Linux内核版本中,使用了不同的软件实现防火墙功能. 在2.0内核中, ...

  6. Linux网络防火墙:iptables与netfilter

    目录 netfilter iptables iptables示例 nftables 参考文档 iptables是一个配置Linux内核防火墙的命令行工具,它基于内核的netfilter机制.新版本的内 ...

  7. linux 网桥防火墙,linux透明防火墙(网桥形式).doc

    linux透明防火墙(网桥形式).doc 还剩 9页未读, 继续阅读 下载文档到电脑,马上远离加班熬夜! 亲,喜欢就下载吧,价低环保! 内容要点: 又如,对于 ftp 连接可以使用下面的连接跟踪:(1 ...

  8. redhat linux 禁用网卡,RedHat Linux下防火墙配置技巧

    RedHat Linux下防火墙配置技巧 发布时间:2012-07-13 16:34:57   作者:佚名   我要评论 RedHatLinux为增加系统安全性提供了防火墙保护.防火墙存在于你的计算机 ...

  9. Linux iptables 防火墙 添加删除 端口

    Linux iptables 防火墙 添加删除 端口 ps:本人亲测,阿里云2核4G5M的服务器性价比很高,新用户一块多一天,老用户三块多一天,最高可以买三年,感兴趣的可以戳一下:阿里云折扣服务器 一 ...

最新文章

  1. 在java下使用log4j2记录日志
  2. 字节流数据的写出(输出)和读取(输入)
  3. 11gR2 RAC启用iptables导致节点宕机问题处理
  4. 读《程序设计实践》之一 风格
  5. SQL:waitfor的使用
  6. Lintcode: Unique Paths
  7. ​如何编写高质量的C#代码(一)
  8. 大型互联网系统的监控流水线
  9. Python突击(一)
  10. 对于Python中回调函数的理解
  11. oracle设置表的主键和外键,Oracle中给表添加主键、外键
  12. Python读取一个文件并删除换行输出到另外一个文件中
  13. 10g添加用户 oracle_oracle10g下新建/删除用户
  14. PHP直播源码,直播系统源代码功能有哪些?
  15. LORA 网关上电后对应配置 以及常用的AT指令
  16. supercharge快充_IQOO、小米快充技术对比,27W快充和44W快充,到底哪家强
  17. WIFI后台数据一文解释通
  18. Consider defining a bean of type ‘com.xingchen.media.service.MediaFileService‘ in your configuration
  19. 华北理工计算机学院官网,2019上半年华北理工大学计算机等级考试报名通知
  20. Java程序员春招三面蚂蚁金服,1-3年Java开发工程师面试经验分享

热门文章

  1. checkedListBox1.GetItemChecked(i)无效(未解决)
  2. android无线打印
  3. R语言构建决策树模型(decision tree)并可视化决策树:自定义函数计算对数似然、自定义函数计算模型的分类效能(accuray、F1、偏差Deviance)、使用pander包美化界面输出内容
  4. 关于PLC编程接单的一些重点解惑
  5. 趣学算法系列-动态规划
  6. 耕升 GeForce RTX 4070 星极皓月 OC给玩家带来DLSS3+2K光追百帧游戏体验
  7. C++字节对齐(地址对齐)
  8. 计算机巧用剪纸做画册教案,手工制作教案:剪纸教学案例
  9. 2015年度阿里个人奖项
  10. 对称加密,非对称加密,混合加密