propustnost aneb data-throughput
Lukáš Cirkva
lukas na cirkva.net
Úterý Květen 17 15:59:14 CEST 2005
Dobry den,
Petr Klíma wrote:
> moje napsal(a):
>
>> Petr Klíma píše v Út 17. 05. 2005 v 08:49 +0200:
>>
>>>> Iptables to sice resi, ale pro vetsi rozsahy je lepe resit to nejaky ma
>>>> vhodnejsim nastrojem, nez mit tisice pravidel v iptables.
>>>> Firewalling pri spravnem nastaveni prakticky nezpomali sit (rozhodne ne
>>>> na 100mbitu). Pri linearnim razeni pravidel (nejvetsi mozne
>>>> svinstvo) se
>>>> na P4 na 2.4 dostane rychlost pod 200mbit asi u 2500 pravidel, coz je
>>>> mnohem vic nez by mel normalni firewall mit a da se tomu hodne pomoct
>>>> pouzitim conntracku na zacatku pro ESTABLISHED a RELATED (ma docela
>>>> sympaticky vliv na rychlost firewallu).
>>>> No a dobre udelany strom ma podobne vysledky.
>>>>
>>>
>>> Mate nejaky priklad takove "dobre praktiky"
>>
>>
>>
>> To dost zalezi na cilovem pouziti :-(
>> Jinak to bude vypadat pri filtrovani nad 192.168.0.0/16 a jinak nad /24
>> A pak zalezi jestli server, nebo router a kolik pravidel je vlastne
>
>
> No momentalne resime jak to dobre udelat pro sit se 150 IP s uplinkem
> 4mbit. Predpokladam ze Celeron na 1G by to mel zvladnou i kdybysme to
> zbaslili.... Je to tak?
Mam dlouhodobe odzkouseno routovani na Celeronu 300 s 200 aktivnimi IP
na 100Mb FD s cca 200 jednoduchymi pravidly v iptables a to k plne
spokojenosti.
Ve Vasem prde pokud pravidel nebude hodne moc nebo vylozene spatne
napsane, tak jakykoliv dnesni procesor by mel dostacovat.
--
*Lukáš Cirkva*
Další informace o konferenci Linux