Extremne zatizeny postfix

David Rohleder davro na ics.muni.cz
Neděle Leden 13 14:38:24 CET 2002 

David Olszynski <hisaak na ysoft.cz> writes:

> On Sun, 13 Jan 2002, David Rohleder wrote:
> 
> >
> > 1. skript pridaval ty IP adresy linearne za sebe, takze jadro muselo
> >    pro kazdy paket projit 10000 zaznamu. Zkus to trochu rozlozit,
> >    treba do nejake stromove struktury.
> >
> > 2. problem je v postfixu (ale asi ne, pokud se tech 99% neobjevovalo
> >    drive), reseni by patrne bylo pouzit a) rychlejsi stroj, b) jiny
> >    mailserver
> 
> Hardware je myslim rozumny (Athlon 1.3G, 640MB pameti) a nikdy jindy se to
> nestavalo, takze jsem si skoro jist, ze to je ta prvni varianta. I tak me
> ohromilo, ze to vydrzelo tak hodne.
> 
> Ty ip adresy se opravdu pridavaly linearne. Necekal jsem, ze jich bude az
> tak hodne. S tou stromovou strukturou, mohlo by pomoct treba to, ze bych
> vytvoril pro kazdou A sit vlastni retezec (pripadne i pro Bcka)? Taky
> nevim, jestli bych mel v tech jednotlivych pravidlech specifikovat vice
> podrobnosti (treba port 25, jen SYN pakety) a nebo bude rychlejsi to,
> kdyz tam bude jen zdroj a DROP? Mozna bude nejlepsi mit ty podrobnosti
> jen u tech pravidel, ktere budou jako cil volat ty nove retezce.


Kdybych vysel z predpokladu, ze jednoduche porovnavani je jednodussi
nez prechod na dalsi pravidlo, tak bych to udelal nasledovne:

1. prvni pravidlo --new tcp port 25

2. pak seznam A siti 1-223 (0, 224-255 nemaji smysl, protoze se nemohou
   vyskytnout) , pokud mozno serazeny podle poctu hitu (od
   nejvice po nejmene) jump na prislusny chain

No a pak podle vysledku se muze jeste rozdelit podle druheho bytu v
adrese, ale to uz chce udelat inteligentne, abys nenarazil na nejaky
limit v poctu pravidel. prece jenom 223*255 je celkem dost.

nebo druhy krok treba rozdeleni do 16 pravidel, 0/4, 16/4, 32/4, 48/4,
... a pak teprve rozdeleni na A.

Moznosti je spousty, i ta trocha teorie se obcas hodi.


BTW: tech 30hitu/s je celkem sila. Snazil jsem se najit srovnani
vykonu ruznych mailserveru, ale neuspel jsem. Nasel jsem jenom, ze
exim tech 30hitu/s zvlada, ale tam ho meli na nejakem sunovi (zase na
druhou stranu je to starsi vysledek, takze to tve PC muze byt i
silnejsi).

BTW2: Pokud je tam hodne uzivatelu a dorucovani se provadi podle
/etc/passwd, tak bych zkusil alespon prevest seznam uzivatelu do
nejake databaze a zindexovat ho, aby se zbytecne necekalo na to, az
system najde jestli uzivatel zadany v RCPT TO existuje.

BTW3: jeste bych vypnul kontrolu na reverzni DNS.


-- 
-------------------------------------------------------------------------
David Rohleder						davro na ics.muni.cz
Institute of Computer Science, Masaryk University
Brno, Czech Republic
-------------------------------------------------------------------------

Další informace o konferenci Linux