propustnost aneb data-throughput
moje
moje na kalhotky.net
Úterý Květen 17 09:32:31 CEST 2005
Petr Klíma píše v Út 17. 05. 2005 v 08:49 +0200:
> >
> > Iptables to sice resi, ale pro vetsi rozsahy je lepe resit to nejaky ma
> > vhodnejsim nastrojem, nez mit tisice pravidel v iptables.
> > Firewalling pri spravnem nastaveni prakticky nezpomali sit (rozhodne ne
> > na 100mbitu). Pri linearnim razeni pravidel (nejvetsi mozne svinstvo) se
> > na P4 na 2.4 dostane rychlost pod 200mbit asi u 2500 pravidel, coz je
> > mnohem vic nez by mel normalni firewall mit a da se tomu hodne pomoct
> > pouzitim conntracku na zacatku pro ESTABLISHED a RELATED (ma docela
> > sympaticky vliv na rychlost firewallu).
> > No a dobre udelany strom ma podobne vysledky.
> >
>
> Mate nejaky priklad takove "dobre praktiky"
To dost zalezi na cilovem pouziti :-(
Jinak to bude vypadat pri filtrovani nad 192.168.0.0/16 a jinak nad /24
A pak zalezi jestli server, nebo router a kolik pravidel je vlastne
potreba. Minuly tyden jsem spolecne s jednim studentem delal zakladni
testy propustnosti v zavislosti na poctu pravidel a tom jestli je to
strom, nebo ne. U stromu propustnost prilis neklesa, protoze maximalni
pocet projdenych pravidel je nizky. u linearniho razeni je od urciteho
poctu dost razantni pokles (urcity pocet je silne zavisly na velikosti
L2 cache). Pokud chcete, tak muzu nekde vystavit vysledky.
MOJE
P.S. Pokud chcete rychy firewall na intelu, tak nejlepsi je Pentium-M s
2MiB L2 cache :-).
--
Konir Tomas
Czech Republic
Brno
ICQ 25849167
Další informace o konferenci Linux