Pocitani dat.

Vladimir Kotal vlada at devnull.cz
Mon Feb 17 08:42:44 CET 2003


On Sun, Feb 16, 2003 at 01:52:52PM +0100, Dan Lukes wrote:
> Dan Lukes wrote, On 02/13/03 14:53:
> >    Mimochodem, asi jsem mel zminit parametry dotceneho stroje. Je to 
> >jednoprocesorova 2GHz P4 s jednou Intel 1000BaseTX kartou (ano, je to 
> >router s jednou kartou - mala napoveda zni 'vlan').
> >
> >    Zatim jsem vyzkousel jen navrh Vaska Petricka (tedy nahradit ve 
> >firewallu kazde allow prislusnym tee) - zlakalo me to ze dvou duvodu - 
> 

[ snip ]

> 
> 	'count' ipfw je ozkouseno, ze ma pomerne velky overhead. U ipf 
> 	odhaduji velmi podobny nebo dokonce vyssi (protoze prochazeni ipfw konci na 
> prvni ruli, ktera se uplatni, kdezto ipf prochazi strom cely a pouzije 
> posledni akci).
> 

Tady bych si dovolil poopravit. ipf ma odlisnou filosofii nez ipfw. aby
bylo zpracovani rulesetu ukonceno pote co paket matchuje dane rule, je treba
pridat klicove slovo quick.

ipf je kazdopadne v prumeru rychlejsi nez ipfw co se tyce vyhodnocovani
pravidel. (staci letmo srovnat zdrojaky tykajici se datovych struktur)


v.



More information about the Users-l mailing list