В Чтв, 17/01/2008 в 16:10 +0300, Stanislav Kruchinin пишет: > Покотиленко Костик wrote: > > > > Про разницу массового фильтрования в iptables и посредством tc filter > > попробую объяснить на пальцах. > > > > - tc filter использует линейный список фильтров, в iptables можно > > построить в виде дерева; > > Наоборот. Деревья фильтров можно (с трудом) строить в u32. IPCLASSIFY > просто вычисляет номер класса из IP-адреса, т.е. фактически строит хэш > вида IP <=> class. IPMARK таким же образом маркирует пакеты.
> > - tc filter имеет ограниченное число критериев сравнения по сравнению > > с iptables; > > > > То есть, если сегодня Вам нужно фильтровать только по IP, tc filter > > подойдёт. А завтра понадобится фильтровать в зависимости от фазы луны и > > придётся слезать на iptables :) > > > > Фильтр u32 работает с любыми полям пакета, в отличие от > IPMARK/IPCLASSIFY, которые читают только IP источника или назначения. Вы про какие IPMARK/IPCLASSIFY говорите? Если про те, что в iptables "-j CLASSIFY --set-class MAJOR:MINOR" и "-j MARK --set-mark value", то что значит "которые читают только..."? Они ничего не читают, "читает" iptables посредством разных модулей, у которых есть возможность фильтровать не только "IP источника или назначения", а так же по MAC адресам, оригинальным адресам (до/после работы SNAT/DNAT), протоколам, портам, портам моста, PID'у локальной программы, состоянию conntrack и многим другим критериям. -- Покотиленко Костик <[EMAIL PROTECTED]> -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]