Date: Wed, 13 Feb 2008 22:30:15 +0100 From: Michael Knudsen <none@e--molioner.dk.lh.bsd-dk.dk> To: bsd-dk@bsd-dk.dk Subject: Re: pfctl -o kontra god regel opsætning
Quoting Tue Topholm (tt@device.dk):
> Jeg sad og tænkte på at lave et script der generede en pf.conf udfra en database med regler ud,
>
> også overvejede jeg et kort sekund at bare skrive alle regler ud en per hver linie, også bruge pfctl -o når jeg læser filen, for at optimere regelsættet.
>
> Kan man gøre det med fordel, eller vil pf være hurtigere, hvis jeg selv generede makro'er og tabeller...
Det hurtige svar er, at det afhaenger af, om du er smartere end pfctl's
optimiser. (:
Det er meget sandsynligt, at du kan skrive et regelsaet, der er bedre
(hurtigere at evaluere) end resultatet af en optimering foretaget af pfctl,
men om forskellen er signifikant afhaenger af din bevaeggrund for at
goere det.
Forsoeger du at goere det nemmere at vedligeholde din konfiguration,
eller forsoeger du at maksimere ydelsen?
Overvej at tage dit nuvaerende regelsaet og optimér det manuelt. Load
det, og dump outputtet af ``pfctl -sr'' (evt. ogsaa -sn). Sammenlign
outputtet fra pfctl's resultat af optimerede regler (tael regler).
Det er vigtigt at tage outputtet fra ``pfctl -sr'' som grundlag for
sammenligningen, da det er nemt at tage fejl e.g. med ekspansion af
regler pga. {}.
Husk ogsaa, at du har mulighed for at sammenligne en koersel over et
stykke tid ved at dumpe output fra ``pfctl -vsr'' med to proeveregelsaet.
Mvh. Michael.
-- The Librarian gave him the kind of look other people would reserve for people who said things like `What's so bad about genocide?' -- (Terry Pratchett, Guards! Guards!)
This archive was generated by hypermail 2b30 : Fri 29 Feb 2008 - 23:00:01 CET