ipac-ng 1.27 RH9 iptables all update - CPU jede na 100%
Dalibor Straka
dast na panelnet.cz
Úterý Září 9 11:34:42 CEST 2003
On Mon, Sep 08, 2003 at 07:20:56PM +0200, Boruvka wrote:
> Zdravim ve spolek,
> ma server RH9, 512RAM, 2500AMDXP - pres tento server jdou lide do internetu a na nem je nadefinovano cca 600 pravidel pro IPAC - mereni objemu dat prenesenych uzivateli. S temito pravidli je vsak po nekolika hodinach server vytizen na 100% a je treba jej restartovat.
> Pokud vyhodim pravidla IPAC, jede server na 20% a 80% je volnych. Resenim by melo byt "user defined chains" pri IPAC-NG - tedy jakasi stromova struktura pravidel, aby pakety nesly pres vsech 600 pravidel, ale vetvily se a tim by bylo dosazeno ze kazdy paket by sel jen napr. 20-30 pravidly (dle nastaveni prave toho stromu).
> Nedari se mi vsak nadefinovat "user defined chains" :( Pokud nadefinuji pravidla klasicky, je pocitani OK.
>
Ta pravidla si rozhodne rozdelte. A jako jedno z prvnich si dejte akceptovani
ESTABLISHED, RELATED. At to nemusi projit mnoha dalsimi pravidly. A hnedle
si jeste rozdelte TCP, UDP, ICMP. Minimalne takove rozdeleni zprehledni cteni
pravidel. Priklad je na http://www.panelnet.cz/linux/rc.firewall
-- Dalibor Straka
Další informace o konferenci Linux