Телеграмм чат группы freebsd

ну это наверно все наносекунды )

17:33пожаловаться #1

у меня правил мало

17:33пожаловаться #2

Artyom Abramovich in freebsd_ru

в PF'е многие правила из коробки keep state by default

17:33пожаловаться #3

Kirill Varnakov

ну это наверно все наносекунды )

если в таблице стейтов будем 4М записей, проход по ним будет совсем не за наносекунды

17:34пожаловаться #4

ну вот значит есть смысл )

17:34пожаловаться #5

а тупанул

17:35пожаловаться #6

ну может для стейтов какая то оптимизация есть...

17:35пожаловаться #7

есть, именованные стейты

17:35пожаловаться #8

но для открытия наружу сервиса кипстейты вообще не нужны

17:36пожаловаться #9

а вот это не понял, снаружи что не могут трафик вредоносный кидать

17:37пожаловаться #10

17:37пожаловаться #11

Kirill Varnakov

а скорость keep-state прибавляет?

уменьшает. как и в pf. и везде.

17:37пожаловаться #12

add 1 allow tcp from any to 1.1.1.1 80,443
add 2 allow tcp from 1.1.1.1 80,443 to any
... allow some icmp

17:37пожаловаться #13

Artyom Abramovich in freebsd_ru

no state уменьшает)

17:38пожаловаться #14

ну вот никаких оптимизаций )

17:39пожаловаться #15

всем спасибо

17:39пожаловаться #16

что, даже без established ?

17:40пожаловаться #17

во 2 правиле?

17:41пожаловаться #18

в одном на всех

17:41пожаловаться #19

оно менее безопасно, конечно, зато быстрее всех)