Pořadí mangle
Napsal: 18 Sep 2008 08:08
Zdravím konferenci, mám dotaz ohledně funkčnosti mangle.
Obecně se doporučuje nejprve označit connection-mark a pak podle něj packet-mark. Zdůvodňováno je to výkonností.
Rád bych ale věděl, jak je to doopravdy, jak zpracování skutečně probíhá.
Chápu, že vyhodnocení connection-mark je rychlejší, než vyhodnocení IP adresy, avšak pokud mám řádově stovky pravidel, kde se mi za sebou opakují dvojce:
chain=prerouting action=mark-connection new-connection-mark=xxx-U passthrough=yes src-address=192.168.200.10-192.168.200.13
chain=prerouting action=mark-packet new-packet-mark=xxx-U passthrough=no connection-mark=xxx-U
tak kde může vzniknout ta úspora. Stejně statisticky projdu všechny packety polovinou testů na IP adresy - tedy těmi pomalými.
Rád bych se dozvěděl, že moje úvaha je špatná a mám to jen nesprávně srovnané.
Díky všem.
Mirek
Obecně se doporučuje nejprve označit connection-mark a pak podle něj packet-mark. Zdůvodňováno je to výkonností.
Rád bych ale věděl, jak je to doopravdy, jak zpracování skutečně probíhá.
Chápu, že vyhodnocení connection-mark je rychlejší, než vyhodnocení IP adresy, avšak pokud mám řádově stovky pravidel, kde se mi za sebou opakují dvojce:
chain=prerouting action=mark-connection new-connection-mark=xxx-U passthrough=yes src-address=192.168.200.10-192.168.200.13
chain=prerouting action=mark-packet new-packet-mark=xxx-U passthrough=no connection-mark=xxx-U
tak kde může vzniknout ta úspora. Stejně statisticky projdu všechny packety polovinou testů na IP adresy - tedy těmi pomalými.
Rád bych se dozvěděl, že moje úvaha je špatná a mám to jen nesprávně srovnané.
Díky všem.
Mirek