[MASOCH-L] Alto uso de software interrupts (%si + irqs/seq) ksoftirqd
Henrique de Moraes Holschuh
henrique.holschuh at ima.sp.gov.br
Thu Nov 29 09:53:03 -03 2012
On 28-11-2012 18:41, Lucas Willian Bocchi wrote:
> As regras que você usa, como estas que verificam os estados,
> necessitam que o kernel conheça esse estado. Esse "conhecimento" é
> feito pela tabela conntrack.
>
> É altamente desaconselhado usar num roteador com BGP as tabelas de
> conntrack, pois aumenta o processamento. Por isto te dou a idéia de
> dividir o trabalho: estas máquinas ficam com o BGP somente e o
> firewall você colocaria em uma outra máquina. Uma faz o trabalho de
> somente decidir as rotas e a outra faz somente o trabalho de
> firewall.
Existe alternativa, que diminui o custo de ter conntrack: não passe
pela conntrack o tráfego roteado, apenas o tráfego que tenha a
caixa como destino.
1. Na tabela RAW, use -j NOTRACK para todo tráfego que não for local
2. Na tabela RAW, coloque a firewall stateless.
3. Na INPUT/OUTPUT, coloque as regras de controle de tráfego
destinado ao roteador, rate limit de ICMPs, use conntrack, etc.
4. Na FORWARD, coloque só o que for muito difícil de fazer na RAW.
Lembre de filtrar na RAW todo o tráfego eBGP, só deve falar eBGP
com teu roteador os IPs dos neighbours.
Não use o roteador de borda como firewall geral. Bloqueie nele só o
tráfego que nunca deve atravessar a borda: faça o ingress e
egress filtering segundo os BCP 38 e 46. E use IPSET no lugar de
muitas regras, firewall em Linux é O(n), precisa ser otimizada na
*mão* para funcionar como se fosse uma árvore.
--
Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
IM@ - Informática de Municípios Associados
Engenharia de Telecomunicações
TEL +55-19-3755-6555/CEL +55-19-9293-9464
Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
e do custo que você pode evitar.
More information about the masoch-l
mailing list