Re: [問題] pf中超大table的檢查,拖慢速度,問解法?

看板FreeBSD作者ShineX (........)時間19年前 (2006/09/14 15:51)推噓0(0推 0噓 0→)

留言0則, 0人參與討論串2/2 (看更多)

※ 引述《ShineX (........)》之銘言： : 我的系統是FreeBSD 6.1 : 目前利用一個perl程式將peerguardian的black list轉換成 : packe filter (pf) 的table來擋IP : 但也因為這樣, 造成這台主機連線速度超慢, : 我猜是因為那個black list超大, 要檢查很久 : 請問pf要怎麼設定才可解決謝謝 >"< : p.s.我已經試過讓一些常用的服務不檢查了(FTP, Samba, telnet), : 但一樣很慢, 下面是部分pf.conf的設定, 熱心的大大請指導一下謝謝 : # 我將轉換好的資料放在/var/db/peerguardian : table <peerguardian> persist file "/var/db/peerguardian" : # 下面是一行,我已將http,FTP,etc設定不檢查了,可是這些服務一樣超慢 : block in log quick proto {tcp,udp} from <peerguardian> to any port : {!=80,!=443,!=21,!=22,!=443,!=23,!=139,!=445,!=20} : 將上面這行拿掉, pf重新load, 速度馬上恢復正常, 實在很無奈 >"< 想請問一下不指定網路介面, 是不是會有問題我後來寫成如下, 直接整個網路癱瘓, 不會動 @@" table <peerguardian> persist file "/var/db/peerguardian" pass in log quick proto {tcp,udp} from any to any port {80, 443, 21, 22, 23, 139, 445, 20} #這兩行真正是一行 block in log quick from <peerguardian> to any block out log quick from <peerguardian> to any 姆姆姆 ~~~ 超級混亂, 如果像我這樣寫沒指定網路介面 ex. on fxp0 那direction in/out是不是沒意義阿? 目前不敢在亂試了, 因為人不在旁邊, 一改掛就要叫學弟幫我重清規則, 很麻煩他, 想搞清楚了再弄... 但查不到不指定介面的資料, 所以在這邊問一下 @@" 謝謝!! -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 218.163.145.110 ※ 編輯: ShineX 來自: 218.163.145.110 (09/14 15:57) ※ 編輯: ShineX 來自: 218.163.145.110 (09/14 15:58) ※ 編輯: ShineX 來自: 218.163.145.110 (09/14 15:59)