> /me представил себе будущее... на 64-ядерном проце айпитаблес легко гоняет пачку правил,
> да еще и рассовав их по ядрам. Ну разве не красота?
> :)для этого надо сначала разделить спинлок защищающий правила - а то он там 1 штука, и от того что один из модулей будет закинут на произвольный CPU - легче никому не станет. разбиение на rwlock будет просто вызывать кучу cache flush - что не лучшим образом сказывается на производительности.
Кроме того расскидывание по процам добавляет гемороя с обработкой пакетов ибо далеко не каждый протокол безболезнено переживает переупорядочивание пакетов.
Допустим для tcp это означает уменьшение производительности, отключение sack, и увеличение используемой памяти на клиенте.
> ЗЫЖ кто там 48-ядерные процы хотел? Ну вот и посмотрим как там
> с масштабированием. Ставлю на то что проблемы с масштабированием решат, если
> они вылезут и начнут мешаться.
Там где используют много ядер - там iptables не используют. он там отключен как класс.
PS. прежде чем говорить - стоило бы подумать.