iptables性能优化

Question

通过将最常用的规则放在顶部，例如连接建立后匹配的已知相关规则，可以对Iptables进行优化。此外，优化可以通过使用跳转来避免非常长的链。这个链接给出了一个例子。

我的问题是如何优化规则本身。通过添加和/或删除特定规则中的一些检查，性能将如何？这些支票的顺序如何？例如，这条规则：

iptables -A FORWARD -i eth0 -s source_ip -d dest_ip -p tcp --dport 80 -j ACCEPT

可重写为：

iptables -A FORWARD -s source_ip -d dest_ip -p tcp --dport 80 -j ACCEPT

这两个规则都将允许http通信从特定的源到特定的目的地。你认为这两者的表现会有所不同吗？此外，支票可以重新订购如下：

iptables -A FORWARD -p tcp --dport 80 -s source_ip -d dest_ip -i eth0 -j ACCEPT

这是否也会产生影响，或者iptable会自动处理它。

Answer 1

iptables -A -i eth0 -s source_ip -d dest_ip -p tcp -dport 80 -j接受

和

-A转发-p tcp -dport 80 -s source_ip -d dest_ip -i eth0 -j

使用相同的参数创建系统调用iptc_append_entry()。

iptables -A -s source_ip -d dest_ip -p tcp --dport 80 -j接受

创建系统调用iptc_append_entry()与其他ipt_entry结构(没有罪过).我认为表演不会变

Answer 2

不，因为您只是对输入到命令选项解析器的字符串进行重新排序。

Answer 3

当有疑问时，输入您正在调查的iptables行，然后执行iptables-save | less。