iptablesフィルタリングのパフォーマンス：TCPとUDP

Question

TCPとUDPのフィルタリングでiptablesの性能について質問しています。私は多数のiptablesルールでそれをテストしていました。 FORWARDチェーンで10,000のTCPとUDPの混合ルールが混在すると、TCPスループットは35.5 Mbits/sec、UDPスループットは25.2 Mbits/secになります。

なぜTCPスループットがUDPよりも大きいのですか？私はACKパケットのためにTCPが遅くなると思った。私はすでにcisco ACLでそれをテストしました。そこではUDPがより高速です。

PC ---- FW ----- PC トポロジ

Answer 1

ファイアウォールのオーバーヘッドは、パケット、バイトではなくに関して最も重要です。したがって、平均UDPパケットが平均TCPパケットよりも小さい場合、CPUはUDPよりもTCPよりも少ないビット/秒で最大値になります。

逆に、UDPパケットが断片化を起こすのに十分な大きさで、ファイアウォールがフラグメントを検査する前に再構成するように設定されている場合、再アセンブリによってかなりのオーバーヘッドが発生し、ビット/秒のスループットが低下します。

ファイアウォールの実装と設定に固有の他の要因もあるかもしれませんが、私はこれらの2つが一次であると信じています。