propustnost aneb data-throughput
Dalibor Toman
dtoman na fortech.cz
Úterý Květen 17 10:05:52 CEST 2005
Petr Klíma <petr.klima na jihomilk.cz> wrote:
>> Iptables to sice resi, ale pro vetsi rozsahy je lepe resit to
>> nejaky
>> ma vhodnejsim nastrojem, nez mit tisice pravidel v iptables.
>> Firewalling pri spravnem nastaveni prakticky nezpomali sit
>> (rozhodne
>> ne na 100mbitu).
Co pri tom dela cpu? Mam zkusenosti, ze u ipchains na Celeronu 1.7ghz
s cca 1000 pravidel v chainu slo CPU chvilemi hodne do kolen (a tok
skrz ten stroj byl radove jen jednotky Mbps) a take zacinalo narustat
zpozdeni packetu. Resenim bylo predrazeni chainu, ktere rozdeli merene
IP po /24 blocich (cili v nejhorsim pripade cca 256 pravidel za
sebou- nebo vyrazne min pokud se neprideluje merenym strojum po /32).
Pro iptables jsme pak napsali modul, ktery uctuje data pro prideleny
blok IPcek efektivneji - adresuje v nem jako v linearnim poli (hashi),
takze najde spravne 'pravidlo' v jednom kroku a zatez CPU prakticky
nezvysuje
D. Toman
Další informace o konferenci Linux