iptables: Memory allocation problem
Peter Surda
shurdeek na routehat.org
Pondělí Květen 9 13:06:00 CEST 2005
On Mon, May 09, 2005 at 09:18:21AM +0200, Michal Hucik wrote:
> Dobry den,
cau
> pouzivam na Linuxovych routerech iptables, ktere obsahuji spousty radku
> (cca 15 - 20 tisic).
Je to neefektivne. Jednak to zere pamat, jednak pokial to mas linearne za
sebou, brutalne zvysuje zataz (a aj latenciu).
> Toto nastaveni slouzi predevsim k vyuziti data counteru v tabulce mangle.
Pouzi ipt_ACCOUNT ktory sluzi presne na toto a ma zanedbatelny efekt na pamat
(ca 20 bajtov na ip adresu). Je urceny presne na toto, accounting s velkym
poctom IP a vysokym vykonom. Pamat na transfer do userspace alokuje len ked
dotycna IP ma traffic od poslednoho vynulovania, cim sa vykon este zvysi.
Na najvacsej sieti, kde to pouzivam, sa accountuje niekolko rangov, dokopy
obsahujucich okolo 200.000 IP adries. Pocas 5minutoveho intervalu po ktorom sa
to logujem som vsak nameral max. len okolo 730 aktivnych. Prenos do userspace
spolu s updatom databaz (rrd) na dotycnej masine (2GHz Athlon) trva pod pol
sekundy.
Urcite pouzi verziu 1.2, lebo v 1.1. je niekolko bugov, ktore sa triggernu ked
ma traffic viac ako iste mnozstvo pocitacov (medzi 200 a 400).
[reklama]Mozes pouzit rovno Route Hat, ten ma vsetko integrovane a
automatizovane, je to rychlo nainstalovane a nemusis nic kompilovat.[/reklama]
S pozdravom,
Peter Surda (Shurdeek) <shurdeek na routehat.org>, ICQ 10236103, +436505122023
--
Where do you think you're going today?
Další informace o konferenci Linux