VP
Это не сильно затратно будет по цпушке? Не дешевле будет дропать в RAW блэклист?
Затратно, конечно. Но это же вопрос из разряда "а можно ли?" А где дешевле дропать в РАВе или в фильтре - надо смотреть по количеству дропаемого трафика.
Size: a a a
2020 May 11
I
может быть так, что в фильтре дешевле?
VP
может быть так, что в фильтре дешевле?
Технически, если вредного трафика меньше, чем полезного и фильтр не особо загроможден, то фильтр может оказаться дешевле.
I
а за счет чего?
VP
а за счет чего?
За счет того, что через матчер правила в RAW будет проходить весь трафик и полезный и вредный. Т.е. сама проверка "легче" (емнип втречал цифру 30%), но она не выборочна, а всеобъемлюща, потому выгода от нее есть при ДОС атаке или прочей ситуации, когда вредного овермного, а если вредного мало, то это двойная работа для фильтра.
I
не пони, почему двойная
I
к нам пришло 1000 пакетов
YP
не пони, почему двойная
траффик не сматченный в рав идет дальше в фильтр
I
у нас есть либо одно правило в фильтре, либо одно правило в раве
I
в одном случае 1000 проверок и в другом 1000 проверок
VP
к нам пришло 1000 пакетов
И РАВ проверит всю 1000. а дропнуть надо, к примеру 10.
I
а фильтр как-то иначе проверки делает, не все пакеты проверяет?
I
(ну, кроме дропнутых)
VP
в одном случае 1000 проверок и в другом 1000 проверок
А если в РАВ ничего нет, то 950 пакетов акцептнутся раньше и только 10 дропнутся фильтром. На мой взгляд 10 дропов фильтром дешевле 950 матчей РАВом.
I
не понимаю
I
почему 950 акцептов + 50? дропов в фильтре дешевле 950 акцептов и 50? дропов в раве
I
или речь про то, что если равом вообще не пользоваться, то и акцептить ему не надо ничего?
RP
а фильтр как-то иначе проверки делает, не все пакеты проверяет?
Смею предположить, что
filter, connection state aware, если соединение для данного flow установлено, оно не проходит всю цепочку filter, а сразу полуает accept.
А RAW проверяет каждый пакет, который попал под его match, даже, если это один и тот же packet flow
filter, connection state aware, если соединение для данного flow установлено, оно не проходит всю цепочку filter, а сразу полуает accept.
А RAW проверяет каждый пакет, который попал под его match, даже, если это один и тот же packet flow
VP
не понимаю
1. Вариант. Полезный пакет НЕ будет проверяться РАвом, если в РАВ ничего нет. Он зайдет в фильтр, скажем, инпута и акцептнется там. Вредный - дропнется закрывающим правилом.
2. Вариант. Полезный пакет проверится в РАВ(если вредный то дропнется) , и акцептнется в в фильтре.
Если полезного много, а вредного мало, то РАВ просто будет выполнтять дополнительную не нужную проверку.
2. Вариант. Полезный пакет проверится в РАВ(если вредный то дропнется) , и акцептнется в в фильтре.
Если полезного много, а вредного мало, то РАВ просто будет выполнтять дополнительную не нужную проверку.
VP
Смею предположить, что
filter, connection state aware, если соединение для данного flow установлено, оно не проходит всю цепочку filter, а сразу полуает accept.
А RAW проверяет каждый пакет, который попал под его match, даже, если это один и тот же packet flow
filter, connection state aware, если соединение для данного flow установлено, оно не проходит всю цепочку filter, а сразу полуает accept.
А RAW проверяет каждый пакет, который попал под его match, даже, если это один и тот же packet flow
+1