propustnost aneb data-throughput
Petr Klíma
petr.klima na jihomilk.cz
Úterý Květen 17 09:50:55 CEST 2005
moje napsal(a):
> Petr Klíma píše v Út 17. 05. 2005 v 08:49 +0200:
>
>>>Iptables to sice resi, ale pro vetsi rozsahy je lepe resit to nejaky ma
>>>vhodnejsim nastrojem, nez mit tisice pravidel v iptables.
>>>Firewalling pri spravnem nastaveni prakticky nezpomali sit (rozhodne ne
>>>na 100mbitu). Pri linearnim razeni pravidel (nejvetsi mozne svinstvo) se
>>>na P4 na 2.4 dostane rychlost pod 200mbit asi u 2500 pravidel, coz je
>>>mnohem vic nez by mel normalni firewall mit a da se tomu hodne pomoct
>>>pouzitim conntracku na zacatku pro ESTABLISHED a RELATED (ma docela
>>>sympaticky vliv na rychlost firewallu).
>>>No a dobre udelany strom ma podobne vysledky.
>>>
>>
>>Mate nejaky priklad takove "dobre praktiky"
>
>
> To dost zalezi na cilovem pouziti :-(
> Jinak to bude vypadat pri filtrovani nad 192.168.0.0/16 a jinak nad /24
> A pak zalezi jestli server, nebo router a kolik pravidel je vlastne
No momentalne resime jak to dobre udelat pro sit se 150 IP s uplinkem
4mbit. Predpokladam ze Celeron na 1G by to mel zvladnou i kdybysme to
zbaslili.... Je to tak?
> potreba. Minuly tyden jsem spolecne s jednim studentem delal zakladni
> testy propustnosti v zavislosti na poctu pravidel a tom jestli je to
> strom, nebo ne. U stromu propustnost prilis neklesa, protoze maximalni
> pocet projdenych pravidel je nizky. u linearniho razeni je od urciteho
> poctu dost razantni pokles (urcity pocet je silne zavisly na velikosti
> L2 cache). Pokud chcete, tak muzu nekde vystavit vysledky.
To by urcite by zajimavy clanek pro (Root.cz|ABClinux|[neco co ctete o
linux]) ...
> MOJE
>
> P.S. Pokud chcete rychy firewall na intelu, tak nejlepsi je Pentium-M s
> 2MiB L2 cache :-).
>
--
Petr Klíma
JIHOMILK a.s.
Rudolfovská 246/83
370 50 České Budějovice
Czech Rpublic
phone: +420 389 136 209
e-mail: petr.klima na jihomilk.cz
Další informace o konferenci Linux