Extremne zatizeny postfix
David Rohleder
davro na ics.muni.cz
Neděle Leden 13 14:38:24 CET 2002
David Olszynski <hisaak na ysoft.cz> writes:
> On Sun, 13 Jan 2002, David Rohleder wrote:
>
> >
> > 1. skript pridaval ty IP adresy linearne za sebe, takze jadro muselo
> > pro kazdy paket projit 10000 zaznamu. Zkus to trochu rozlozit,
> > treba do nejake stromove struktury.
> >
> > 2. problem je v postfixu (ale asi ne, pokud se tech 99% neobjevovalo
> > drive), reseni by patrne bylo pouzit a) rychlejsi stroj, b) jiny
> > mailserver
>
> Hardware je myslim rozumny (Athlon 1.3G, 640MB pameti) a nikdy jindy se to
> nestavalo, takze jsem si skoro jist, ze to je ta prvni varianta. I tak me
> ohromilo, ze to vydrzelo tak hodne.
>
> Ty ip adresy se opravdu pridavaly linearne. Necekal jsem, ze jich bude az
> tak hodne. S tou stromovou strukturou, mohlo by pomoct treba to, ze bych
> vytvoril pro kazdou A sit vlastni retezec (pripadne i pro Bcka)? Taky
> nevim, jestli bych mel v tech jednotlivych pravidlech specifikovat vice
> podrobnosti (treba port 25, jen SYN pakety) a nebo bude rychlejsi to,
> kdyz tam bude jen zdroj a DROP? Mozna bude nejlepsi mit ty podrobnosti
> jen u tech pravidel, ktere budou jako cil volat ty nove retezce.
Kdybych vysel z predpokladu, ze jednoduche porovnavani je jednodussi
nez prechod na dalsi pravidlo, tak bych to udelal nasledovne:
1. prvni pravidlo --new tcp port 25
2. pak seznam A siti 1-223 (0, 224-255 nemaji smysl, protoze se nemohou
vyskytnout) , pokud mozno serazeny podle poctu hitu (od
nejvice po nejmene) jump na prislusny chain
No a pak podle vysledku se muze jeste rozdelit podle druheho bytu v
adrese, ale to uz chce udelat inteligentne, abys nenarazil na nejaky
limit v poctu pravidel. prece jenom 223*255 je celkem dost.
nebo druhy krok treba rozdeleni do 16 pravidel, 0/4, 16/4, 32/4, 48/4,
... a pak teprve rozdeleni na A.
Moznosti je spousty, i ta trocha teorie se obcas hodi.
BTW: tech 30hitu/s je celkem sila. Snazil jsem se najit srovnani
vykonu ruznych mailserveru, ale neuspel jsem. Nasel jsem jenom, ze
exim tech 30hitu/s zvlada, ale tam ho meli na nejakem sunovi (zase na
druhou stranu je to starsi vysledek, takze to tve PC muze byt i
silnejsi).
BTW2: Pokud je tam hodne uzivatelu a dorucovani se provadi podle
/etc/passwd, tak bych zkusil alespon prevest seznam uzivatelu do
nejake databaze a zindexovat ho, aby se zbytecne necekalo na to, az
system najde jestli uzivatel zadany v RCPT TO existuje.
BTW3: jeste bych vypnul kontrolu na reverzni DNS.
--
-------------------------------------------------------------------------
David Rohleder davro na ics.muni.cz
Institute of Computer Science, Masaryk University
Brno, Czech Republic
-------------------------------------------------------------------------
Další informace o konferenci Linux