Chupaka
Silver Member | Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Цитата: или ты хочешь и тут развеять мои сомнения по поводу правильности
этих правил? |
никак нет. я просто говорю, что их ещё можно оптимизировать по производительности. а работать и эти будут
Цитата: которое метит пакеты маркой udp_unlimit_ou на основании соединения conn_udp_unlimit
прости но такого соединения еще нет, оно же выше по прероутингу еще не помечено ....
что ты меня путаешь, понимаю выходные на носу :0 |
ну что, эта песня хороша, начинай сначала... добро пожаловать в первый класс
метки пакета и роутинга на вновь пришедшем пакете девственно чисты (no-mark). метка соединения - это немножко другое. каждый пакет попадает в первую очередь в Connection Tracking, и если он принадлежит уже установленному соединению - то метка соединения на него устанавливается прямо здесь, ещё до срабатывания любых правил файрвола. т.е. если мы на первый пакет соединения повесили метку - то эта метка будет автоматически появляться у всех пакетов данного соединения (причём как исходящих, так и входящих)
поэтому логика вышеприведённых правил такова: если соединение уже помечено (что будет у 99% пакетов), то сразу вешаем метку пакета - и уходим. если же нет - то метим соединение на основе адрес-листа (что само по себе не очень быстро), и повторяем процедуру размечивания пакета. да, 1% пакетов будет обрабатываться чуть дольше, зато 99% пролетят со свистом
как-то так
Добавлено:
Цитата:| чтобы <...> не надо было перемешать пк из одного класса в другой |
какого класса? О_о
Цитата:| Для 2 варианта можно EthernetOverIP использовать, но он уже должен быть на другом протоколе |
на каком протоколе?!? о чём тут речь?
а EoIP можно использовать в обоих случаях, просто в первом к нему ещё надо прикрутить IPSec |
это столько нужно правил что бы пометить UDP трафик 
