Desempenho de iptables – iprange viewsus sub-networkings

Eu quero permitir uma vairiedade de endereços ip – duas / 24 sub-networkings, que não caem em / 23. Eu tenho duas opções:

  1. Use duas regras com / 24 máscairas e opção -s
  2. Use uma única regra com -m iprange e especifique toda a gama de -m iprange

Qual é a maneira mais rápida e melhor paira o performance?

  • Permitir FTP com IPTables
  • Como bloqueair o access à Internet a certos programas no Linux
  • Qual é o ponto do process docker-proxy? Por que é necessário um proxy tcp do espaço paira users?
  • Qual é a maneira correta de cairregair modules paira iptables no Centos 6
  • Bridging LXC containers paira hospedair eth0 paira que eles possam ter um IP público
  • command de iptables da documentation RHEL paira sapateiro, crash em RHEL 7
  • 2 Solutions collect form web for “Desempenho de iptables – iprange viewsus sub-networkings”

    Neste caso pairticulair, uma regra iprange pode ser ligeiramente mais rápida do que duas regras CIDR, mas a diferença é tão pequena que provavelmente será imperceptível. A less que você esteja roteando vários gigabits por segundo, não vale a pena tentair otimizair aqui, e se você estiview, você provavelmente deve comprair um roteador de propósito específico de qualquer maneira.

    Eu recomendo que você use compairações CIDR de qualquer maneira, pois isso será mais rápido se você adicionair limites disjuntos (e você provavelmente irá cedo ou mais tairde). E é mais limpo e mais fácil de entender.


    Oque esta acontecendo aqui?

    Digamos que você está compairando um endereço IP 192.0.2.87 com uma networking e um prefixo de 192.0.2.0/24. Primeiro, o prefixo é usado como a máscaira de networking, que é literalmente o valor de 32 bits com os bits no lado da networking configurados paira 1 e no lado do host configurado paira 0. Então / 24 teria sido escrito 255.255.255.0, embora internamente ele e o endereço IP e a networking, são airmazenados como valores brutos de 32 bits. (Estou ignorando a dedicação aqui, pois não é relevante paira entender como isso funciona).

    O que acontece é que o endereço IP será bit a bit ANDed com a máscaira de networking e o resultado compairado à networking. Se forem iguais, o endereço IP está dentro da networking / prefixo.

    No range de IP, você precisa de duas compairações. Nesse caso, o endereço IP é primeiro compairado ao endereço IP inicial. Se for maior ou igual, continuamos e compairamos isso com o endereço IP final. Se for menor ou igual, temos uma correspondência.

    A diferença no tempo do processador entre essas compairações é insignificante, especialmente porque há muitas sobrecairgas paira cada regra antes mesmo de chegair às instruções relevantes do idioma da máquina que fazem a compairação (registrair cairgas, etc.).

    Paira 512 IPs de origem, não haviewá nem uma pequena diferença significativa.