>> А это уже интереснее, несмотря на искусственность условий. Можно поподробнее? Списки правил
>> и статистику фаерволов («pfctl -si» и «iptables -n -L -v») хотя
>> бы.
> там ничего интересного. для netfilter вообще одно правило.
> для pf - nat + pass in quick/pass out quick Ага, раз NAT в отдельной секции, то PF староватый...
>> BTW, о птичках: какие версии netfilter и PF? А то был у
> freebsd 8.1 & linux 2.6.37
Покопался ещё: похоже, за исключением импорта sloppy states (и, возможно, ещё чего-то), PF во фряхе совсем протух. :( Ну да ладно. Спасибо за информацию, попробую повторить тесты и если всё будет печально, поискать узкое место.
>> Ваши цифры, если вы вспомните, взяты из трафикогенератора. То есть не учитывают
>> обработку входящих пакетов и переброску между интерфейсами. Так что напрямую сравнивать
>> результаты ваши и у Саломеи, мягко говоря, некорректно.
> цифры снимались с помощью netstat в FreeBSD и sar в Linux.
А это тут причём? :) В одном случае (Саломея) тестировалась пропускная способность, говоря аналогиями, целого таможенного терминала, в другом (вы) — только той части, что «на выход». Это не говоря о других различиях в методике тестирования. Поэтому, повторюсь, тест ваш сам по себе интересен, но сравнивать его результаты с результатами Саломеи абсолютно некорректно.
>>>> Инсталяция базовой системы, поднятие pfsync (одна команда ifconfig) и CARP (ещё 1-2
>>>> команды ifconfig). Всё, дальше оно само. Ну, ещё не грех те
>>>> же команды в /etc/rc.conf записать, разумеется. :) Остальное — написание правил
>>>> собсно фаервола (для ленивых есть Firewall Builder, например).
>>> pfsync в GENERIC нет. ALTQ тоже.
>> Ага, виноват: повторюсь, не слежу внимательно за фряхой. Кстати, вы NPF не
>> пробовали? А то у меня руки так и не дошли его
>> нагрузить...
> Не трогал вообще.
Жаль. :)