Gregory Edigarov wrote:
On Mon, 26 Sep 2005, Paul Arakelyan wrote:
On Fri, Sep 23, 2005 at 04:11:19PM +0300, Gregory Edigarov wrote:
Что еще есть на поругать pf? нет, мне честно интересно, я без издевательств. "из личного опыта" - при вагоне (несколько тысяч) tcp-sessions с кучей packets/s очень странно оно себя ведёт - вроде и загрузка процессора меньше (значительно), а с natd packet rate удавалось достичь больше (если процессора хватало). Ну и разные "передёргивания" типа изменение адреса на интерфейсе (многократное) с pf приводит к большей вероятности крэшнуть систему - хотя тут уж явно не pf виноват.
Хм, а у меня все работает под PF быстро и хорошо. ~ 50 правил(нат, очереди, фильтрация) + таблицы. насчет packet rate - не скажу, но по ощущениям - в разы быстрее. Я проверил тут - без keep state есть таки некоторый performance degrade, думаю, потому, что в случае non-statefull filtering оно делает last matching wins, в отличие от IPFW.
Что мешает писать правила так, чтобы было first matching wins (с помощью quick ) ? -- Mykola Dzham, LEFT-(UANIC|RIPE) JID: levsha@jabber.kiev.ua =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message