[MASOCH-L] Alto uso de software interrupts (%si + irqs/seq) ksoftirqd
"Tiago A. Peçanha"
tiago at symetric.com.br
Wed Nov 28 18:53:33 -03 2012
Lucas,
Minha preocupação é fazer essa divisão e não resolver. Porque eu teria
uma máquina fazendo o BGP, ligada a outra máquina fazendo o firewall.
Mas como o hardware é igual, será que ainda não vai ocorrer o mesmo
problema do conntrack?
Ex:
2 operadoras -> dell BGP server -> dell fw01 server -> switch...
Minhas regras de BGP são bem simples (uma full BGP com filtragem tipo
0.0.0.0 le 15 para parte de tráfego internacional e outra só rota
default), sendo que com todas as rotas da minha rede (inclusive OSPF
vindo dos pppoes), tenho algo em torno de 7200 rotas.
Em 28/11/2012 18:41, Lucas Willian Bocchi escreveu:
> Tiago
>
> As regras que você usa, como estas que verificam os estados, necessitam que
> o kernel conheça esse estado. Esse "conhecimento" é feito pela tabela
> conntrack.
>
> É altamente desaconselhado usar num roteador com BGP as tabelas de
> conntrack, pois aumenta o processamento. Por isto te dou a idéia de dividir
> o trabalho: estas máquinas ficam com o BGP somente e o firewall você
> colocaria em uma outra máquina. Uma faz o trabalho de somente decidir as
> rotas e a outra faz somente o trabalho de firewall.
>
>
> 2012/11/28 "Tiago A. Peçanha"<tiago at symetric.com.br>
>
>> Lucas,
>> Acho que o conceito não está entrando na minha cabeça.
>>
>> Pelo que entendi eu não posso remover o conntrack com o tipo de regra que
>> eu uso. Vou dar alguns exemplos:
>>
>> Tabela mangle:
>>
>> iptables -t mangle -A PREROUTING -d x.x.x.x/24 -i eth0 -p tcp --sport 80
>> -j MARK --set-mark 11
>> iptables -t mangle -A PREROUTING -d y.y.y.y/24 -i eth2 -p tcp --sport 80
>> -j MARK --set-mark 12
>>
>> Tabela filter:
>> INPUT
>> ACCEPT all -- 0.0.0.0/0 224.0.0.0/8
>> ACCEPT all -- x.x.x.x/24 0.0.0.0/0
>> ACCEPT all -- y.y.y.y/24 0.0.0.0/0
>> ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
>> ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state
>> RELATED,ESTABLISHED
>> ACCEPT all -- z.z.z.z 0.0.0.0/0 state NEW
>>
>> FORWARD
>> ACCEPT tcp -- 0.0.0.0/0 a.a.a.a tcp multiport
>> dports 443,902
>> ACCEPT tcp -- 0.0.0.0/0 a.a.a.b tcp multiport
>> dports 443,902
>> ACCEPT tcp -- 0.0.0.0/0 a.a.a.c tcp dpt:80
>> ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state
>> RELATED,ESTABLISHED
>> DROP all -- 0.0.0.0/0 x.x.x.x/24 state NEW
>> DROP all -- 0.0.0.0/0 y.y.y.y/24 state NEW
>> DROP tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW
>> tcp dpts:1:1024
>> DROP udp -- 0.0.0.0/0 0.0.0.0/0 state NEW
>> udp dpts:1:1024
>>
>> O que acham?
>>
>> Em 28/11/2012 18:21, Lucas Willian Bocchi escreveu:
>>
>>> Por quê você precisa do connection tracking neste servidor?? Tem algum
>>> motivo? Se não remova-o.
>>> __
>>> masoch-l list
>>> https://eng.registro.br/**mailman/listinfo/masoch-l<https://eng.registro.br/mailman/listinfo/masoch-l>
>>>
>> __
>> masoch-l list
>> https://eng.registro.br/**mailman/listinfo/masoch-l<https://eng.registro.br/mailman/listinfo/masoch-l>
>>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
More information about the masoch-l
mailing list