[GTER] Fugindo do Mikrotik
Marcelo Gondim
gondim at bsdinfo.com.br
Thu Aug 23 15:52:53 -03 2018
Fácil fácil.
Só colocar essas 4 regras no seu Linux que você acaba com as conntracks:
iptables -t raw -A PREROUTING -j CT --notrack
iptables -t raw -A OUTPUT -j CT --notrack
ip6tables -t raw -A PREROUTING -j CT --notrack
ip6tables -t raw -A OUTPUT -j CT --notrack
Em 22/08/2018 07:49, flavio.hayashi escreveu:
> André,
> Tenho um Linux rodando meu BGP aqui e zero de nat nele.
> Preciso explicitar para não fazer a conntrack ou não?
> Abs,
> Flávio
>
>
> Enviado do meu smartphone Samsung Galaxy.
> -------- Mensagem original --------De: André Carlim <andre at stubnet.info> Data: 21/08/18 19:20 (GMT-03:00) Para: Grupo de Trabalho de Engenharia e Operacao de Redes <gter at eng.registro.br> Assunto: Re: [GTER] Fugindo do Mikrotik
> Pessoal, desculpa a mensagem anterior, a droga do navegador travou e dai
> o clique saiu errado no roundcube..
>
> Vi que ninguém fala de conntrack... Indiferente do soft-router que
> escolher, se ativar conntrack 'eeee morreuuuu'!
>
> Eu participei de um projeto com algo próximo de 65Gbps em soft-router, e
> sempre a mesma coisa, se ativar a conntrack, mata a caixa, claro não
> estou falando aqui de Hardware Routers famosos, todos sabemos que
> possuem recursos bons para trabalhar com alto volume de transito,
> inclusive com conntrack ativa.
>
> Com conntrack ativa eu nunca tive roteador de borda, todavia roteadores
> de CGNAT já perdi a conta, e alguns foram mais de 12Gbps, claro 24
> núcleos reais (Xeon Serie E5 v2, escolhidos a dede, com frequencia alta
> e modo max performance ativo direto na bios, com HT desativado) e duas
> placas de rede mellanox dual port totalizando 4 portas, duas uplink em
> LACP e duas downlink em LACP também, feitos os calculos de QPI e
> throughput do pci-ex, ficou "bão", os 12Gbps é só no sentido downstream,
> de upstream quase 2Gbps, os núcleos no momento de pico, consomem, não
> tem como não gastar, mas o foco não é esse, só falei a titulo de
> curiosidade.
>
> Então, indiferente do hardware e do software, vai ter que cuidar disso,
> e fazer ajustes finos, eu tenho que puxar a brasa pro lado do Debian +
> Quagga, que é o uso sempre, e todos esses cases, são com essa dupla. A
> dica é se usar Debian, hoje, instale o kernel do backports, esta no
> 4.17. Tem muita melhoria no netfilter/roteamento, graças ao time de
> desenvolvimento do facebook, colaboram muito, os CGNAT nem se comparam
> com os kernels anteriores e os de agora.
>
> ---
>
> Atenciosamente,
> André Carlim
> StubNetwork
>
More information about the gter
mailing list