Применяется ли параметр параметра IPTable для производительности?

Question

Будет следующее iptable правило

iptables -I FORWARD -p tcp -m set --match-set HUUUGE_SET dst --dport 80 -j REJECT 

быть менее эффективным, чем это один

iptables -I FORWARD -p tcp --dport 80 -m set --match-set HUUUGE_SET dst -j REJECT 

для пакета с DPORT! = 80.

Другими словами, это порядок, в котором вы указать параметры того же порядка, в котором они были проверены, или iptables имеют определенный предопределенный/оптимизированный порядок проверки параметров.

Спасибо!

Answer 1

Параметры AFAIK, iptables будут перенаправлены в структуру, которая будет передаваться в модуль ядра netfilter, поэтому порядок параметров полностью не влияет на производительность.

Вот тест:

# iptables -N test 
# iptables -A test -p tcp --dport 80 -s 10.0.0.1 -j DROP 
# iptables -A test -p tcp -s 10.0.0.2 --dport 80 -j DROP 
# iptables-save | grep test 
:test - [0:0] 
-A test -s 10.0.0.1/32 -p tcp -m tcp --dport 80 -j DROP 
-A test -s 10.0.0.2/32 -p tcp -m tcp --dport 80 -j DROP 
# 

Как вы можете видеть, независимо от того, вы вводите параметры соответствия, iptables-save (который выводит набор правил NETFILTER в настоящее время активно в памяти) «канонизировать» порядок.