[MASOCH-L] Alto uso de software interrupts (%si + irqs/seq) ksoftirqd

"Tiago A. Peçanha" tiago at symetric.com.br
Wed Nov 28 18:53:33 -03 2012


Lucas,
Minha preocupação é fazer essa divisão e não resolver. Porque eu teria 
uma máquina fazendo o BGP, ligada a outra máquina fazendo o firewall. 
Mas como o hardware é igual, será que ainda não vai ocorrer o mesmo 
problema do conntrack?

Ex:
2 operadoras -> dell BGP server -> dell fw01 server -> switch...

Minhas regras de BGP são bem simples (uma full BGP com filtragem tipo 
0.0.0.0 le 15 para parte de tráfego internacional e outra só rota 
default), sendo que com todas as rotas da minha rede (inclusive OSPF 
vindo dos pppoes), tenho algo em torno de 7200 rotas.



Em 28/11/2012 18:41, Lucas Willian Bocchi escreveu:
> Tiago
>
> As regras que você usa, como estas que verificam os estados, necessitam que
> o kernel conheça esse estado. Esse "conhecimento" é feito pela tabela
> conntrack.
>
> É altamente desaconselhado usar num roteador com BGP as tabelas de
> conntrack, pois aumenta o processamento. Por isto te dou a idéia de dividir
> o trabalho: estas máquinas ficam com o BGP somente e o firewall você
> colocaria em uma outra máquina. Uma faz o trabalho de somente decidir as
> rotas e a outra faz somente o trabalho de firewall.
>
>
> 2012/11/28 "Tiago A. Peçanha"<tiago at symetric.com.br>
>
>> Lucas,
>> Acho que o conceito não está entrando na minha cabeça.
>>
>> Pelo que entendi eu não posso remover o conntrack com o tipo de regra que
>> eu uso. Vou dar alguns exemplos:
>>
>> Tabela mangle:
>>
>> iptables -t mangle -A PREROUTING -d x.x.x.x/24 -i eth0 -p tcp --sport 80
>> -j MARK --set-mark 11
>> iptables -t mangle -A PREROUTING -d y.y.y.y/24 -i eth2 -p tcp --sport 80
>> -j MARK --set-mark 12
>>
>> Tabela filter:
>> INPUT
>> ACCEPT     all  --  0.0.0.0/0            224.0.0.0/8
>> ACCEPT     all  --  x.x.x.x/24      0.0.0.0/0
>> ACCEPT     all  --  y.y.y.y/24      0.0.0.0/0
>> ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:53
>> ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state
>> RELATED,ESTABLISHED
>> ACCEPT     all  --  z.z.z.z        0.0.0.0/0           state NEW
>>
>> FORWARD
>> ACCEPT     tcp  --  0.0.0.0/0            a.a.a.a       tcp multiport
>> dports 443,902
>> ACCEPT     tcp  --  0.0.0.0/0            a.a.a.b       tcp multiport
>> dports 443,902
>> ACCEPT     tcp  --  0.0.0.0/0            a.a.a.c       tcp dpt:80
>> ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state
>> RELATED,ESTABLISHED
>> DROP       all  --  0.0.0.0/0            x.x.x.x/24     state NEW
>> DROP       all  --  0.0.0.0/0            y.y.y.y/24     state NEW
>> DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW
>> tcp dpts:1:1024
>> DROP       udp  --  0.0.0.0/0            0.0.0.0/0           state NEW
>> udp dpts:1:1024
>>
>> O que acham?
>>
>> Em 28/11/2012 18:21, Lucas Willian Bocchi escreveu:
>>
>>> Por quê você precisa do connection tracking neste servidor?? Tem algum
>>> motivo? Se não remova-o.
>>> __
>>> masoch-l list
>>> https://eng.registro.br/**mailman/listinfo/masoch-l<https://eng.registro.br/mailman/listinfo/masoch-l>
>>>
>> __
>> masoch-l list
>> https://eng.registro.br/**mailman/listinfo/masoch-l<https://eng.registro.br/mailman/listinfo/masoch-l>
>>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l




More information about the masoch-l mailing list