玩转高性能超猛防火墙nf-HiPAC

                中华国学，用英文讲的，稀里糊涂听了个大概，不得不佩服西方人的缜密的逻辑思维，竟然把玄之又玄的道家思想说的跟牛顿定律一般，佩服。归家，又收到了邮件，还是关于nf-hipac的，不知不觉就想彻底整理一篇文章说个明白，可是哪有个够啊哪有个够。
       匆匆吃完晚饭，碗也没刷，餐桌狼藉，家人都在看电视，玩手机，小小依然捧着iPad...我的摊子如下：

       如果说理论分析不足以镇住人，或者说一上来就讲理论可能把人吓跑，还是先来点感官上的体验吧。

0.感官感受

执行下面的命令：

for((i=1;i<100;i++));do for((j=1;j<100;j++)); do iptables -A INPUT -s $i.10.193.$j -j DROP;done; donefor((i=1;i<100;i++));do for((j=1;j<100;j++)); do iptables -A INPUT -s $i.11.192.$j -j DROP;done; done

系统中添加了将近20000条的iptables规则，iperf的测试结果如下：



下面我来试一下nf-hipac，由于nf-hipac的命令语法和iptables基本兼容，因此按照下面的命令执行：

for((i=1;i<100;i++));do for((j=1;j<100;j++)); do nf-hipac -A INPUT -s $i.10.193.$j -j DROP;done; donefor((i=1;i<100;i++));do for((j=1;j<100;j++)); do nf-hipac -A INPUT -s $i.11.192.$j -j DROP;done; done

如此一来，系统中添加了将近2000条nf-hipac规则，iperf的测试结果如下：

二者的对比相当明显，最后我们来看一下既没有iptables又没有nf-hipac规则的时候，iperf的结果：

显而易见，nf-hipac加载20000个条目的结果和裸奔的结果是几乎一致的，这是多么令人兴奋的一件事啊！

1.如何使用nf-hipac

1.0.确认内核版本

很不幸，nf-hipac并非以一个可加载的内核模块存在，它是内核的一个patch。需要重新配置内核和重新编译内核才能使用它。除此之外，它对内核版本特别挑剔，官网可下载的最新版本早在2005年就终结了，因此它只是在2.6.13内核版本上可用(说是14，15，16，18都可以，我没有试)。因此我不得不退回到Debian4上去，然后在 kernel.org上下载一个2.6.13版本的内核并着手nf-hipac的编译工作。