[MASOCH-L] Alto uso de software interrupts (%si + irqs/seq) ksoftirqd

Henrique de Moraes Holschuh henrique.holschuh at ima.sp.gov.br
Thu Nov 29 09:53:03 -03 2012


On 28-11-2012 18:41, Lucas Willian Bocchi wrote:
>  As regras que você usa, como estas que verificam os estados,
>  necessitam que o kernel conheça esse estado. Esse "conhecimento" é
>  feito pela tabela conntrack.
>
>  É altamente desaconselhado usar num roteador com BGP as tabelas de
>  conntrack, pois aumenta o processamento. Por isto te dou a idéia de
>  dividir o trabalho: estas máquinas ficam com o BGP somente e o
>  firewall você colocaria em uma outra máquina. Uma faz o trabalho de
>  somente decidir as rotas e a outra faz somente o trabalho de
>  firewall.

Existe alternativa, que diminui o custo de ter conntrack: não passe
pela conntrack o tráfego roteado, apenas o tráfego que tenha a
caixa como destino.

1. Na tabela RAW, use -j NOTRACK para todo tráfego que não for local
2. Na tabela RAW, coloque a firewall stateless.
3. Na INPUT/OUTPUT, coloque as regras de controle de tráfego
    destinado ao roteador, rate limit de ICMPs, use conntrack, etc.
4. Na FORWARD, coloque só o que for muito difícil de fazer na RAW.

Lembre de filtrar na RAW todo o tráfego eBGP, só deve falar eBGP
com teu roteador os IPs dos neighbours.

Não use o roteador de borda como firewall geral. Bloqueie nele só o
tráfego que nunca deve atravessar a borda: faça o ingress e
egress filtering segundo os BCP 38 e 46.   E use IPSET no lugar de
muitas regras, firewall em Linux é O(n), precisa ser otimizada na
*mão* para funcionar como se fosse uma árvore.

-- 
Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
IM@ - Informática de Municípios Associados
Engenharia de Telecomunicações
TEL +55-19-3755-6555/CEL +55-19-9293-9464

Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
e do custo que você pode evitar.




More information about the masoch-l mailing list