Tham gia Đăng nhập
Điểm:0
iTaMaR avatar Server

Thứ tự tùy chọn iptables có quan trọng trong quy tắc không?

lá cờ in
iTaMaR

Có sự khác biệt nào khi tùy chọn thứ tự được thay đổi giữa 3 quy tắc này?

iptables -A INPUT -p tcp --syn --dport 9000 -m set --match-set someSet src -j CHẤP NHẬN
iptables -A INPUT -m set --match-set someSet src --dport 9000 -p tcp --syn -j CHẤP NHẬN
iptables -A INPUT --dport 9000 -p tcp --syn -m set --match-set someSet src -j CHẤP NHẬN

Quá trình truyền tải có tuân theo thứ tự tùy chọn trong quy tắc không?

Lấy quy tắc này làm ví dụ:

iptables -A INPUT -p tcp --syn --dport 9000 -m set --match-set someSet src -j CHẤP NHẬN

Điều đó có nghĩa là iptables tìm kiếm đầu tiên đồng bộ hóa sau đó kiểm tra xem cổng đích có bằng 9000 hay không và tìm kiếm lần cuối xem có khớp trong tập hợp không?

Và trên ví dụ này:

iptables -A INPUT -m set --match-set someSet src --dport 9000 -p tcp --syn -j CHẤP NHẬN

Điều đó có nghĩa là iptables trước tiên tìm kiếm sự trùng khớp trong tập hợp, sau đó kiểm tra xem cổng đích có bằng 9000 không và tìm kiếm lần cuối đồng bộ hóa?

mặc dù tất cả đều cho cùng một kết quả khi được chấp nhận nhưng chúng có thể được tối ưu hóa hơn khi bị từ chối nếu đơn hàng đang diễn ra trong iptables tùy chọn.

166
0 + 0
Điểm:0
avatar Server
lá cờ in
NiKiZe

Thứ tự của các tùy chọn phần lớn không liên quan.

Bạn có thể xác minh điều này bằng cách lưu các quy tắc, bạn sẽ thấy rằng tất cả chúng đều kết thúc theo cùng một cách.

Thứ tự logic sẽ là: Giao thức, cổng, trạng thái, mô-đun

0 + 0
iTaMaR avatar
lá cờ in
iTaMaR
Điều gì sẽ xảy ra nếu tập hợp chứa hàng triệu ip.. bạn không thể mong đợi hiệu suất giống nhau nếu quá trình truyền tải sẽ bắt đầu từ khớp tập hợp và rơi vào các tập hợp khác
0
Hồi đáp
lá cờ in
NiKiZe
Set là một mô-đun, mong nó được kiểm tra lần cuối. Nếu bạn muốn tự mình tối ưu hóa nó, hãy sử dụng các quy tắc riêng gửi lưu lượng truy cập đến các chuỗi mới, từ đó thực hiện phần tiếp theo của trận đấu. Nhưng được cảnh báo rằng có thể không phải là một tối ưu hóa.
0
Hồi đáp
iTaMaR avatar
lá cờ in
iTaMaR
Tôi biết chuỗi sẽ thực hiện thủ thuật nhưng tôi muốn thêm ít quy tắc nhất có thể, làm cách nào để xác định thứ tự bộ lọc trong một quy tắc?
0
Hồi đáp
Ginnungagap avatar
lá cờ gu
Ginnungagap
@iTaMaR, có khả năng bạn đang tìm cách tối ưu hóa thứ gì đó không quan trọng.Một lần nữa, bạn đã thực sự đo điểm chuẩn cho bất kỳ thứ gì trước khi cố gắng tối ưu hóa quá phức tạp, tốn não chưa? `ipset` được thiết kế để xử lý khối lượng lớn IP và cố gắng giúp việc tra cứu IP diễn ra liên tục bất kể số lượng IP trong tập hợp là bao nhiêu, vì vậy hoạt động này sẽ khá rẻ.
1
Hồi đáp
iTaMaR avatar
lá cờ in
iTaMaR
@Ginnungagap Không có thuật toán nào cho bất kỳ loại tập hợp nào có thể khớp so sánh 16 bit với nhau hoặc khớp `opcode`, không có phép thuật nào cho dù nó hiệu quả đến đâu !!! Và bạn biết không, vì lý do khoa học không đo điểm chuẩn, tất cả những gì tôi hỏi là `iptables` lọc `quy tắc` như thế nào và liệu thứ tự có đang diễn ra hay không..
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.