> выдержки из man iptables Вы невнимательно читаете мои комментарии.
Именно это я и написал. Что PF _не_ знает ничего про L2, а NetFilter знает.
В любом случае, спасибо за документальное подтверждение моих слов. ;)
> Так же неверная информация.
В смысле? У PF нет таблиц?-) pf.conf(5) Вас в этом легко разубедит. ;)
> Не стоит забывать, что дропать покеты с бОльшей производительностью можно с помощью
> iproute
Зачем их дропать? Задача маршрутизатора -- их не дропать. ;)
>> Но пакетный фильтр -- это не то, за что идёт борьба на
>> роутере. На роутере идёт борьба за пакетную производительность. А она достигается
>> использованием либо ASIC'ов, либо NPU. Period.
> Т е вы утверждаете что пакетный фильтр слабо влияет на "пакетную производительность"?
> Это мягко говоря неверно 8-).
Как ни странно, слабо.
При правильной его настройке, конечно. Если использовать таблицы вместо линейного списка правил, использовать state filtering и ещё несколько техник, то слабо.
Безусловно, если нарисовать 10 000 "dummy"-правил фильтрации линейным списком, то пакетная производительность, мягко говоря, несколько снизится. ;)
А теперь, внимание, вопрос: а зачем так делать?-)