[MASOCH-L] Alto uso de software interrupts (%si + irqs/seq) ksoftirqd

Lucas Willian Bocchi lucas.bocchi at gmail.com
Wed Nov 28 18:41:25 BRST 2012


Tiago

As regras que você usa, como estas que verificam os estados, necessitam que
o kernel conheça esse estado. Esse "conhecimento" é feito pela tabela
conntrack.

É altamente desaconselhado usar num roteador com BGP as tabelas de
conntrack, pois aumenta o processamento. Por isto te dou a idéia de dividir
o trabalho: estas máquinas ficam com o BGP somente e o firewall você
colocaria em uma outra máquina. Uma faz o trabalho de somente decidir as
rotas e a outra faz somente o trabalho de firewall.


2012/11/28 "Tiago A. Peçanha" <tiago at symetric.com.br>

> Lucas,
> Acho que o conceito não está entrando na minha cabeça.
>
> Pelo que entendi eu não posso remover o conntrack com o tipo de regra que
> eu uso. Vou dar alguns exemplos:
>
> Tabela mangle:
>
> iptables -t mangle -A PREROUTING -d x.x.x.x/24 -i eth0 -p tcp --sport 80
> -j MARK --set-mark 11
> iptables -t mangle -A PREROUTING -d y.y.y.y/24 -i eth2 -p tcp --sport 80
> -j MARK --set-mark 12
>
> Tabela filter:
> INPUT
> ACCEPT     all  --  0.0.0.0/0            224.0.0.0/8
> ACCEPT     all  --  x.x.x.x/24      0.0.0.0/0
> ACCEPT     all  --  y.y.y.y/24      0.0.0.0/0
> ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:53
> ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state
> RELATED,ESTABLISHED
> ACCEPT     all  --  z.z.z.z        0.0.0.0/0           state NEW
>
> FORWARD
> ACCEPT     tcp  --  0.0.0.0/0            a.a.a.a       tcp multiport
> dports 443,902
> ACCEPT     tcp  --  0.0.0.0/0            a.a.a.b       tcp multiport
> dports 443,902
> ACCEPT     tcp  --  0.0.0.0/0            a.a.a.c       tcp dpt:80
> ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state
> RELATED,ESTABLISHED
> DROP       all  --  0.0.0.0/0            x.x.x.x/24     state NEW
> DROP       all  --  0.0.0.0/0            y.y.y.y/24     state NEW
> DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW
> tcp dpts:1:1024
> DROP       udp  --  0.0.0.0/0            0.0.0.0/0           state NEW
> udp dpts:1:1024
>
> O que acham?
>
> Em 28/11/2012 18:21, Lucas Willian Bocchi escreveu:
>
>> Por quê você precisa do connection tracking neste servidor?? Tem algum
>> motivo? Se não remova-o.
>> __
>> masoch-l list
>> https://eng.registro.br/**mailman/listinfo/masoch-l<https://eng.registro.br/mailman/listinfo/masoch-l>
>>
>
> __
> masoch-l list
> https://eng.registro.br/**mailman/listinfo/masoch-l<https://eng.registro.br/mailman/listinfo/masoch-l>
>


More information about the masoch-l mailing list