propustnost aneb data-throughput

moje moje na kalhotky.net
Úterý Květen 17 08:44:41 CEST 2005


> > zajima mne teoreticky, protoze je mi jasne ze realny je zavisly na hodne 
> > na tom co s packetama vsecko delam
> > (firewalling, VPN, VLAN a pocitani statistik prenesych objemu)
> 
> Statistiky prenesenych objemu nereste, to vam vyresi iptables pravidla sama 
> o sobe (maji pocitadla). VPN ma jediny problem - sifrovani. Zalezi na 
> slozitosti sifry, kterou pouzijete. Firewalling je hlavni "problem" - zalezi 
> na zpusobu, jakym pravidla slepite. Jestli budou razene linearne a paket v 
> nejhorsim proleze vsechny pravidla, tak to bude hoodne pomale. Jestli je 
> naraficite do stromu, bude to podstatne lepsi.

Iptables to sice resi, ale pro vetsi rozsahy je lepe resit to nejaky ma
vhodnejsim nastrojem, nez mit tisice pravidel v iptables.
Firewalling pri spravnem nastaveni prakticky nezpomali sit (rozhodne ne
na 100mbitu). Pri linearnim razeni pravidel (nejvetsi mozne svinstvo) se
na P4 na 2.4 dostane rychlost pod 200mbit asi u 2500 pravidel, coz je
mnohem vic nez by mel normalni firewall mit a da se tomu hodne pomoct
pouzitim conntracku na zacatku pro ESTABLISHED a RELATED (ma docela
sympaticky vliv na rychlost firewallu).
No a dobre udelany strom ma podobne vysledky.

MOJE

-- 
Konir Tomas
Czech Republic
Brno
ICQ 25849167




Další informace o konferenci Linux