iptables в ядре
bumbaram 15 апреля, 2010 - 09:40
Добрый день.
Возник такой вопрос. В чем разница включения опций iptables типа
СONFIG_NETFILTER_XT_MATCH_MAC etc.
Прямо в ядро или модулем. И как предпочтительней делать?
»
- Для комментирования войдите или зарегистрируйтесь
С учетом того, что в линух, в
С учетом того, что в линух, в отличие от unix ядро не монолитное, это позволяет подгружать, так называемые модули ядра во время работы системы (это ты и спрашиваешь).
Суть монолитного ядра в том, что все функции собраны в само ядро, что делает его довольно большим, ведь код ядра нужно хранить в памяти, но преимущество монолитного ядра в том, что вызов функций, типа той, о чем ты спрашиваешь, будет проходить быстрее, так как код этой функции уже загружен в память
В случае, когда эта функция находится в модуле ядра, для ее использования этот модуль нужно подгрузить, что с точки зрения процессорного времени намного дольше, чем просто вызвать
В итоге ответ на твой вопрос: если ты постоянно используешь опцию нетфильтер (например фильтрация по мак адресу, как в твоем примере), то имеет смысл собрать эту опцию, как часть ядра. В том случае, если ты не пользуешься этой опцией постоянно, то можешь её вообще не собирать, а если боишься, что она вдруг может потребоваться, то собери как модуль и ничего страшного, что первый вызов функций этого модуля, будет чуть медленнее, но зато эта функция будет доступна всегда без пересборки ядра, а при НЕисользовании, она не будет занимать оперативную память
null56 написал(а): .... но
Как раз то о чем хотел услышать:)
Пришел к такому выводу, что собирать ядро все таки лучше монолитное, модулем включать только те параметры которые используются ну СОвсем редко.Т.к. работать будет быстрее а то что будет грузить больше памяти на мой взгляд не актуально, с учетом цен 500р за планку на 2 Гб :)
Скажи мне - и я забуду, покажи мне - и я не смогу запомнить, привлеки меня к участию - и я пойму...
echo 1 > /proc/sys/kernel/grsecurity/disable_modules
Это зависит от выполняемых системой задач. Есть джЫдаи, которые вообще все собирают монолитно, без модулей и вообще запрещают загрузку модулей.
Для desktop системы подобные меры избыточны. Как минимум необходимо включать в ядро то, без чего система не сможет загрузиться, остальное может быть подгружено "по ходу пьесы".