On Sat, May 28, 2016 at 11:45:59AM +0300, Konstantin Belousov wrote:
On Sat, May 28, 2016 at 11:30:35AM +0300, Paul Arakelyan wrote:
Да оно вроде как в любом случае "не очень быстро": LIST OF RULES AND PREPROCESSING To ease configuration, rules can be put into a file which is processed using ipfw as shown in the last synopsis line. An absolute pathname must be used. The file will be read line by line and applied as arguments to the ipfw utility. Экономия на запуске ipfw - существенно, но всё же никаких "хитрых трюков" оно не делает time ipfw -nq /ZS3/smtpp/ipfw/fww2 7.072u 0.485s 0:07.90 95.5% И все, или большинство, правил одинаковые, только адреса отличаются ? Такое делается таблицей с 2.5K хостов, а не 2.5K правил. Таблицы и грузятся быстрее, и существенно меньше едят время CPU. Номера критичны - хосты попадают в правило с номером, являющимся функцией от времени и продолжительности, и удаляются соответственно правила по номеру - т.е. я не держу таблиц "кого засунул" в памяти, это ОС делает. Соответственно - между писать ещё кучу кода или использовать готовый механизм - ответ очевиден :).
-- Best regards, Paul Arakelyan.