[MASOCH-L] Alto uso de software interrupts (%si + irqs/seq) ksoftirqd
"Tiago A. Peçanha"
tiago at symetric.com.br
Wed Nov 28 18:33:33 -03 2012
Lucas,
Acho que o conceito não está entrando na minha cabeça.
Pelo que entendi eu não posso remover o conntrack com o tipo de regra
que eu uso. Vou dar alguns exemplos:
Tabela mangle:
iptables -t mangle -A PREROUTING -d x.x.x.x/24 -i eth0 -p tcp --sport 80
-j MARK --set-mark 11
iptables -t mangle -A PREROUTING -d y.y.y.y/24 -i eth2 -p tcp --sport 80
-j MARK --set-mark 12
Tabela filter:
INPUT
ACCEPT all -- 0.0.0.0/0 224.0.0.0/8
ACCEPT all -- x.x.x.x/24 0.0.0.0/0
ACCEPT all -- y.y.y.y/24 0.0.0.0/0
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state
RELATED,ESTABLISHED
ACCEPT all -- z.z.z.z 0.0.0.0/0 state NEW
FORWARD
ACCEPT tcp -- 0.0.0.0/0 a.a.a.a tcp multiport
dports 443,902
ACCEPT tcp -- 0.0.0.0/0 a.a.a.b tcp multiport
dports 443,902
ACCEPT tcp -- 0.0.0.0/0 a.a.a.c tcp dpt:80
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state
RELATED,ESTABLISHED
DROP all -- 0.0.0.0/0 x.x.x.x/24 state NEW
DROP all -- 0.0.0.0/0 y.y.y.y/24 state NEW
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW
tcp dpts:1:1024
DROP udp -- 0.0.0.0/0 0.0.0.0/0 state NEW
udp dpts:1:1024
O que acham?
Em 28/11/2012 18:21, Lucas Willian Bocchi escreveu:
> Por quê você precisa do connection tracking neste servidor?? Tem algum
> motivo? Se não remova-o.
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
More information about the masoch-l
mailing list