Como o IPTABLES é um firewall baseado em software, estou querendo saber se é possível registrar a carga exata que está causando, ciclos de CPU, etc.
Em um sistema pequeno, tenho certeza de que é trivial. Mas que tal com milhares de regras?
Olhando em TOP e PS, isso parece me iludir, então deve ser um componente no nível do kernel?
Pode ser isolado e monitorado / registrado?
eta: para maior clareza, no linux moderno, o iptables não é um processo ou daemon visível, por isso não pode ser visto por exemplo com ps aux e não sei como isole-o do kernel, caso contrário
O processamento real das regras iptables é feito no contexto softirq, portanto as alterações no valor si% em top (ou %soft in mpstat ) devem dar uma dica sobre quanta carga ele causa. Se você quiser mais detalhes, você pode usar o ftrace function tracer (veja link para mais informações ) para registrar as chamadas para as respectivas funções do kernel e medir a latência. No entanto, isso requer suporte no kernel, ou seja, opções específicas de configuração do kernel.