Size: a a a

2020 May 11

RP

Roman Polukhin in MikrotikClub
Не успел написать идею Владимира, как я её вижу, он сам уже всё подробно расписал. 👍
источник

RP

Roman Polukhin in MikrotikClub
источник

RP

Roman Polukhin in MikrotikClub
На картинке наглядно видно, о чём говорит Владимир. 🙌
источник

I

Innokentiy in MikrotikClub
не, дело не в картинке
источник

VP

Vladimir Prislonsky in MikrotikClub
Innokentiy
не, дело не в картинке
+1
источник

I

Innokentiy in MikrotikClub
raw:
This table is used mainly for configuring exemptions from connection tracking in combination with the NOTRACK target. It registers at the netfilter hooks with higher priority and is thus called before ip_conntrack, or any other IP tables.
источник

I

Innokentiy in MikrotikClub
если таблица рав пустая, она не вешает хук
источник

I

Innokentiy in MikrotikClub
следовательно, пакет в цепочку просто не входит
источник

VP

Vladimir Prislonsky in MikrotikClub
Innokentiy
raw:
This table is used mainly for configuring exemptions from connection tracking in combination with the NOTRACK target. It registers at the netfilter hooks with higher priority and is thus called before ip_conntrack, or any other IP tables.
вот в этом разрезе его очень полезно использовать. Поскольку контрак "тяжелый".
источник

I

Innokentiy in MikrotikClub
правильно?
источник

VP

Vladimir Prislonsky in MikrotikClub
Innokentiy
правильно?
Да. Именно это я и имел ввиду.
источник

VP

Vladimir Prislonsky in MikrotikClub
Даже на вики пишется, что его полезно юзать, например при ДОС атаках. Банальный дроп в РАВ, имхо излишество.
источник

I

Innokentiy in MikrotikClub
и наша потенциальная экономия получается не за счет того, что проверка в раве дешевле/дороже сама по себе, а за счет экономии на цепочке
источник

VP

Vladimir Prislonsky in MikrotikClub
Innokentiy
и наша потенциальная экономия получается не за счет того, что проверка в раве дешевле/дороже сама по себе, а за счет экономии на цепочке
Она, по идее и дешевле сама по себе, т.к. в ней гораздо меньше условий матчинга.  Но это только предположение.
источник

RP

Roman Polukhin in MikrotikClub
Экономия на connection tracking фазе, не нужно создавать объект, зная, что пакет будет отброшен всё равно.
источник

I

Innokentiy in MikrotikClub
Roman Polukhin
Экономия на connection tracking фазе, не нужно создавать объект, зная, что пакет будет отброшен всё равно.
вы покупаете или продаете?) мы обсуждаем сценарий, когда с коннтраком выходит дешевле
источник

RP

Roman Polukhin in MikrotikClub
Vladimir Prislonsky
Она, по идее и дешевле сама по себе, т.к. в ней гораздо меньше условий матчинга.  Но это только предположение.
Кто-то из коллег говорил, что там практически одинаковый код используется, относительно матчинга.
источник

VP

Vladimir Prislonsky in MikrotikClub
Roman Polukhin
Кто-то из коллег говорил, что там практически одинаковый код используется, относительно матчинга.
Я не знаю. Это надо разработчиков расспрашивать. Но самих условий изрядно поменьше.
источник

RP

Roman Polukhin in MikrotikClub
Innokentiy
вы покупаете или продаете?) мы обсуждаем сценарий, когда с коннтраком выходит дешевле
Дешевле, если большинство flow будет в итоге принято.
источник

I

Innokentiy in MikrotikClub
так-то интуиция подсказывает, что дроп в раве должн быть дешевле
источник