← All posts tagged Linux

как интересно. Пакет проходит через iptables до того, как наступает понимание, сможем мы его вобще послать, или у нас в arp мак адреса нет для destination, а через tc — уже после. И пакет может вполне пройти через iptables но не дойти до tc. Что, вобщем-то логично, но если не задуматься — внезапно.

Интересно, это бага или фича:

ipset create filter hash:net,iface
ipset add filter 0.0.0.0/1,lo
ipset add filter 128.0.0.0/1,lo

ipset test filter 2.2.2.2,lo
2.2.2.2,lo is in set filter

ipset add filter 2.2.2.0/24,eth1

ipset test filter 2.2.2.2,lo
2.2.2.2,lo is NOT in set filter.

ipset list filter
Name: filter
Type: hash:net,iface
Header: family inet hashsize 1024 maxelem 65536
Size in memory: 16976
References: 0
Members:
2.2.2.0/24,eth1
128.0.0.0/1,lo
0.0.0.0/1,lo

что-то mtr как-то замысловато работает через обычный нат. Если запузырить -i 0.1 — то примерно через две-три секунды начинается 80% потери пакетов. При этом и ping -f нормально работает и mtr на сам нат — тоже.

Интересно, что лучше по накладным расходам
ipset hash:net + iptables mark + ip route fwmark или просто ip route addr ? Или на 10-15 тысячах правилах роутинга (примерно по 500-600 на интерфейс) это не принципиально?