[问题求助][img]http://linux.chinaunix.net/bbs/images/default/good_re.gif[/img]问个问题 IPTABLES到底有什么亮点 [复制链接]

可以匹配MAC 不错 但是功能看不出来有什么特点 他.能做的 天.网（很基本的FIREWALL）也能做到 当然简单的SKYNET不能做NAT域名

是不是在性能上比较优越呢 牵涉到内核NETFILTE..R<性病>
譬如包转发跟处.理的能力跟稳定性上服务器

看看IPtables指南就会明白了，天网跟它没有什么可比性。功能非常强大，性能也很优异的，主要看管理员的水平

根本原因是因为iptables（确切地说是netfilter）是内核态防火墙－－这就是它的先天优势－－天网这种用户态防火墙于之相比不过是儿童玩具。

当网络接口收到报文的时候通过IRQ通知驱动程序，操作系统内核通过驱动程序把报文从网卡的缓存拷贝到内核态内存，然后就不同了：内核态防火墙就地处理然后决定报文下一步的去向；而用户态防火墙不行，因为用户态代码不能直接访问内核态内存，报文必须还要从内核态内存拷贝到用户态内存中，等用户态进程等到它的时间片之后（最长可能要10毫秒）处理这个报文，决定下一步处理，然后基于同样原因，这个报文还要从用户态内存拷贝到核心态内存，然后才有可能发出。
明白了？用户态防火墙不是效率高地的问题，而是根本谈不上“效率”二字！
用户态防火墙给Windows这种网络效率极差的系统作自我防护用还是可以的，但用在Linux/NetBSD这种网络性能比较强大的系统就太可笑了。

以上是性能方面，还有功能方面就更没法比了：netfilter支持基于状态检测的包过滤、支持完整的SNAT/DNAT、支持TCP/IP报头的篡改......

总之：以后再不要拿Linux的netfilter与什么天网放在一起比较了！

OK 学到了 谢谢

主要是效率上的不是一个档次 是吗

QUOTE:原帖由 "JohnBull" 发表：
根本原因是因为iptables（确切地说是netfilter）是内核态防火墙－－这就是它的先天优势－－天网这种用户态防火墙于之相比不过是儿童玩具。

当网络接口收到报文的时候通过IRQ通知驱动程序，操作系统内核通过驱动程..........


看此回帖，对比之下，深感自己是门外汉呀，惭愧ING......

不愧是斑竹

QUOTE:原帖由 "JohnBull" 发表：
当网络接口收到报文的时候通过IRQ通知驱动程序，操作系统内核通过驱动程序把报文从网卡的缓存拷贝到内核态内存，然后就不同了：内核态防火墙就地处理然后决定报文下一步的去向；而用户态防火墙不行，因为用户态代码不能直接访问内核态内存，报文必须还要从内核态内存拷贝到用户态内存中，等用户态进程等到它的时间片之后（最长可能要10毫秒）处理这个报文，决定下一步处理，然后基于同样原因，这个报文还要从用户态内存拷贝到核心态内存，然后才有可能发出。
明白了？用户态防火墙不是效率高地的问题，而是根本谈不上“效率”二字！


原来如此         

请问MS ISA算是哪种的？