propustnost aneb data-throughput
temporary
temporary na jannovak.cz
Úterý Květen 17 09:53:32 CEST 2005
moje wrote:
> Petr Klíma píše v Út 17. 05. 2005 v 08:49 +0200:
>
>>>Iptables to sice resi, ale pro vetsi rozsahy je lepe resit to nejaky ma
>>>vhodnejsim nastrojem, nez mit tisice pravidel v iptables.
>>>Firewalling pri spravnem nastaveni prakticky nezpomali sit (rozhodne ne
>>>na 100mbitu). Pri linearnim razeni pravidel (nejvetsi mozne svinstvo) se
>>>na P4 na 2.4 dostane rychlost pod 200mbit asi u 2500 pravidel, coz je
>>>mnohem vic nez by mel normalni firewall mit a da se tomu hodne pomoct
>>>pouzitim conntracku na zacatku pro ESTABLISHED a RELATED (ma docela
>>>sympaticky vliv na rychlost firewallu).
>>>No a dobre udelany strom ma podobne vysledky.
>>>
>>
>>Mate nejaky priklad takove "dobre praktiky"
>
>
> To dost zalezi na cilovem pouziti :-(
> Jinak to bude vypadat pri filtrovani nad 192.168.0.0/16 a jinak nad /24
> A pak zalezi jestli server, nebo router a kolik pravidel je vlastne
> potreba. Minuly tyden jsem spolecne s jednim studentem delal zakladni
> testy propustnosti v zavislosti na poctu pravidel a tom jestli je to
> strom, nebo ne. U stromu propustnost prilis neklesa, protoze maximalni
> pocet projdenych pravidel je nizky. u linearniho razeni je od urciteho
> poctu dost razantni pokles (urcity pocet je silne zavisly na velikosti
> L2 cache). Pokud chcete, tak muzu nekde vystavit vysledky.
jo docela bych se rad na nejake vysledky podival
>
> MOJE
>
> P.S. Pokud chcete rychy firewall na intelu, tak nejlepsi je Pentium-M s
> 2MiB L2 cache :-).
>
--
temporary
ICQ :: 131713994
mail :: temporary (at) jannovak (dot) cz
.''`.
: :' :
`. `'`
`-
Další informace o konferenci Linux