pf中超大table的檢查,拖慢速度,問解法? - BBS

※ 引述《ShineX (........)》之銘言：
: 我的系統是FreeBSD 6.1
: 目前利用一個perl程式將peerguardian的black list轉換成
: packe filter (pf) 的table來擋IP
: 但也因為這樣, 造成這台主機連線速度超慢,
: 我猜是因為那個black list超大, 要檢查很久
: 請問pf要怎麼設定才可解決 謝謝 >"<
: p.s.我已經試過讓一些常用的服務不檢查了(FTP, Samba, telnet),
: 但一樣很慢, 下面是部分pf.conf的設定, 熱心的大大請指導一下 謝謝
: # 我將轉換好的資料放在/var/db/peerguardian
: table <peerguardian> persist file "/var/db/peerguardian"
: # 下面是一行,我已將http,FTP,etc設定不檢查了,可是這些服務一樣超慢
: block in log quick proto {tcp,udp} from <peerguardian> to any port
: {!=80,!=443,!=21,!=22,!=443,!=23,!=139,!=445,!=20}
: 將上面這行拿掉, pf重新load, 速度馬上恢復正常, 實在很無奈 >"<
想請問一下不指定網路介面, 是不是會有問題
我後來寫成如下, 直接整個網路癱瘓, 不會動 @@"

table <peerguardian> persist file "/var/db/peerguardian"
pass in log quick proto {tcp,udp} from any to any port
{80, 443, 21, 22, 23, 139, 445, 20} #這兩行真正是一行
block in log quick from <peerguardian> to any
block out log quick from <peerguardian> to any

姆姆姆 ~~~ 超級混亂, 如果像我這樣寫沒指定網路介面 ex. on fxp0
那direction in/out是不是沒意義阿?
目前不敢在亂試了, 因為人不在旁邊, 一改掛就要叫學弟幫我重清規則,
很麻煩他, 想搞清楚了再弄... 但查不到不指定介面的資料,
所以在這邊問一下 @@" 謝謝!!


--