raw表的问题,不知道理解是否正确,望验证!
在RHEL5中iptables中多个新表raw!
在man解释中,应该是指对tracking的数据库不进行跟踪!其主要目标是NOTRACK!!
而且提到这个表的优先级高于其他的表!!!
指针对链PREROUTING和OUTPUT!!!
对于链接跟踪 也就是tracking的概念 偶l理解的不是特别清楚~~~~(望搞过的朋友给解释下)
个人理解:
使用raw表的作用就是减轻系统负载,对于NOTRACK的数据包kernel不再进行跟踪~~~~可以使访问速度加快!
偶在跟踪和不跟踪2种情况下,使用ab测试工具测试!
发现NOTRACK后的延时和负载都比直接FORWARD快~~~而且比较明显!!
不知道这个理解是否正确!!
望得到大家的验证!!!
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(4)
我理解如果需要 DROP 的可以直接放在 RAW 里
这样,既被 DROP 了也不会进入 conntrack,节省资源
传统的 filter 表的 INPUT 链或者 mangle 表的 PREROUTING 链,都是在 conntrack 之后的
即使我们在他们里面 DROP 了数据包,那么该包也已经进入了 conntrack,但不会有 REPLY
当 timeout 后会自动从 conntrack 里清除掉,多了入表、查表、出表的过程
如果放在 raw 里,确实可以提高性能
还有就是如你所说,有的 packet 不会被看成 flow 被操作时,也可以在 raw 里让他 NOTRACK 一下,省去了入表、查表、出表的工作,提高效率
还有就是匹配选项-m state --state UNTRACKED
应该就是针对-j NOTRACK 进行的匹配并操作的吧!
受教
理论上是的