В сообщении от 10 Декабрь 2006 15:35 Vladimir N. Shilov написал(a): > как проверить/улусшить быстродействие iptables? > > пробшема в следующем -- после добавлениея в INPUT 150-200 правил вида > iptables -I INPUT -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP > машина практически перестала реагировать на входящие коннекты > причем это произошло только с почтовыми службами -- > postfix, courier-imap/pop3, amavis, gld > те же apache и ssh отвечают мгновенно > > модифицировал правила на > iptables -I INPUT -m mac --mac-source xx:xx:xx:xx:xx:xx -j > REJECT --reject-with icmp-host-unreachable > время коннекта сократилось примерно до 7-ти секунд. > > задача -- дропать все коннекты с определённых маков. > маки беруться скриптом из базы и пихаются в iptables > если есть другие идеи по решению этой задачи -- выслушаю.
А почему бы не сделать наоборот? Пропускать только определённые маки.