On Tue, 27 Sep 2005, Mykola Dzham wrote:
Gregory Edigarov wrote:
On Mon, 26 Sep 2005, Paul Arakelyan wrote:
On Fri, Sep 23, 2005 at 04:11:19PM +0300, Gregory Edigarov wrote:
Что еще есть на поругать pf? нет, мне честно интересно, я без издевательств. "из личного опыта" - при вагоне (несколько тысяч) tcp-sessions с кучей packets/s очень странно оно себя ведёт - вроде и загрузка процессора меньше (значительно), а с natd packet rate удавалось достичь больше (если процессора хватало). Ну и разные "передёргивания" типа изменение адреса на интерфейсе (многократное) с pf приводит к большей вероятности крэшнуть систему - хотя тут уж явно не pf виноват.
Хм, а у меня все работает под PF быстро и хорошо. ~ 50 правил(нат, очереди, фильтрация) + таблицы. насчет packet rate - не скажу, но по ощущениям - в разы быстрее. Я проверил тут - без keep state есть таки некоторый performance degrade, думаю, потому, что в случае non-statefull filtering оно делает last matching wins, в отличие от IPFW.
Что мешает писать правила так, чтобы было first matching wins (с помощью quick ) ?
Не знаю... мне ничего не мешает, просто набор правил уже есть достаточно давно, и рассчитан он изначально был именно на statefull filtering. а то была просто проверка, насколько упадет скорость работы если переписать мой набор правил так, чтобы оно не использовало состояния... оказалось, что это, во-первых, совсем неудобно (сразу разбухли до ~70 правил), во вторых, без quick - работает несколько тормознуто, а под quick нужна, в моих случаях, совершенно другая логика. И совсем незачем на меня наезжать. "У меня все работает." (С) -- With best regards, Gregory Edigarov =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message