[mar]

приписываю сюда же кусок оставленного в старом топике поста
m2001

Цитата m2001:

to All: Если сравнивать файрволы, то скорость их работы еще зависти от того кто как правила прописывает, т.е. от настроек. Если и есть разница, то вряд ли она будет существенной между ipfw и iptables, если взять любой навернутый веб-сервер хостинга. По своему опыту могу сказать, что при юзании ipfw есть хорошая штука как динамические правила и возможность ограничения трафика по скорости, чего я не нашел под iptables (я не утверждаю что этого нет в iptables). Но как я читал в какой-то доке, там говорилось что использование динамических правил требует больше ресурсов чем статических, что может приводить к большей загрузке. Поэтому вопрос нагрузки и будет зависеть еще от того сколько и каким образом прописаны эти правила.

[FrIcE]

Ну от правил то же зависит, но я так понимаю сравниваются примерно одинаковый набор правил. (Хотя при хорошем процессоре, сетевухах и наличии большого объема памяти количество правил не так существенно). А вот про динамические правила, соглашусь что ресурсов надо больше, в первую очередь памяти, для поддержки таблицы состояний, но вот по скорости это быстрее обычных правил, потому как "таблица" состояний обычно является деревом и требуется всего несколько сравнений, чем проход в среднем половины правил (актуально, если число правил 20 и больше ).

На мой взгляд, лучше файрвол, который полностью работает на уровне ядра и управляется какой - либо утилитой, в этом плане хороши pf/ipfilter, на счет ipfw уже высказывался выше. На счет iptables незнаю, но если оно работает не в ядре (хотя судя по вышеприведенной цитате оно как раз живет в ядре), то потеря производительности и безопасности неизбежна.

[Belansky]

Лично меня связка ipfw+tcpwrapper+конфиги отдельных программ вполне устраивает. А, если трафик фильтруется еще и на роутерах Cisco, получается совсем замечательно. И скорость работы вполне устраивает.
P.S. С секундомером я, конечно, не засекал.

[mar]

bdancer
FrIcE
пардон, не сразу заметила. Вы все-таки гляньте на офф-сайте http://www.netfilter.org/:

Цитата:

What is netfilter/iptables? netfilter and iptables are building blocks of a framework inside the Linux 2.4.x and 2.6.x kernel. This framework enables packet filtering, network address [and port] translation (NA[P]T) and other packet mangling. It is the re-designed and heavily improved successor of the previous Linux 2.2.x ipchains and Linux 2.0.x ipfwadm systems. netfilter is a set of hooks inside the Linux kernel that allows kernel modules to register callback functions with the network stack. A registered callback function is then called back for every packet that traverses the respective hook within the network stack. iptables is a generic table structure for the definition of rulesets (iptables - общая табличная структура для определений правил). Each rule within an IP table consists of a number of classifiers (iptables matches) and one connected action (iptables target). netfilter, iptables and the connection tracking as well as the NAT subsystem together build the whole framework.

Вроде как в том, что я написала про работу парсера противоречий с этим нет?
На самом деле, может быть я и неправа,- надо поковырять код, посмотреть работу libiptc. Желающие могут заняться

Цитата:

libiptc is the library that is used to communicate with netfilter, the internal kernel code in charge of firewalling and packet filtering. This code and iptables were written by Paul "Rusty" Russell. iptables was developed using libiptc calls to get the job done. (Переводим: libiptc - библиотека, используемая для общения с netfilter - внутренним кодом ядра, ответственным за работу брандмауэра и фильтрации пакетов. Код iptables был написан Paul "Rusty" Russell. iptables для выполнения работы используют вызовы libiptc)