shicoy Опубликовано 28 августа, 2009 · Жалоба Цель: загрузить большое кол-во правил на короткое время. Метод: Создается несколько файлов со набором инструкций, запускаются в несколько потоков. Проблема: При частом создании правил, iptables начинает ругаться resource temporary unavailable. Вопросы: Как избавить iptables от ошибки resource temporary unavailable, либо же реализовать другую быструю загрузку правил. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
a_andry Опубликовано 28 августа, 2009 · Жалоба Неспеша залить кучу правил в отдельную цепочку, и потом вкл/выкл цепочку одним правилом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
photon Опубликовано 28 августа, 2009 (изменено) · Жалоба Насколько я знаю, несколько экземпляров iptables не могут одновременно загружать правила в одну и ту же таблицу. Единственный способ ускорить -- формировать единый файл с правилами и загружать всё за один раз с помощью iptables-restore. В iptables на данный момент нет нормальной реализации инкрементального добавления правил. При добавлении нового правила делается полный дамп старых, дополняется и загружается снова. http://nfws.inl.fr/en/index.php?s=algorithm Вообще, большое число правил iptables приведет к падению производительности, следует по возможности использовать ipset. Изменено 28 августа, 2009 пользователем photon Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shicoy Опубликовано 28 августа, 2009 (изменено) · Жалоба А если ipset уже используется для шейпера? хотя как вариант создать дополнительный набор правил ipset Изменено 28 августа, 2009 пользователем shicoy Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
