[MASOCH-L] Alto uso de software interrupts (%si + irqs/seq) ksoftirqd

["Tiago A. Peçanha"]

Legal Henrique,
Vou tentar fazer algo nesses moldes. Dou um retorno pra vocês depois.


Em 29/11/2012 09:53, Henrique de Moraes Holschuh escreveu:
> On 28-11-2012 18:41, Lucas Willian Bocchi wrote:
>>  As regras que você usa, como estas que verificam os estados,
>>  necessitam que o kernel conheça esse estado. Esse "conhecimento" é
>>  feito pela tabela conntrack.
>>
>>  É altamente desaconselhado usar num roteador com BGP as tabelas de
>>  conntrack, pois aumenta o processamento. Por isto te dou a idéia de
>>  dividir o trabalho: estas máquinas ficam com o BGP somente e o
>>  firewall você colocaria em uma outra máquina. Uma faz o trabalho de
>>  somente decidir as rotas e a outra faz somente o trabalho de
>>  firewall.
>
> Existe alternativa, que diminui o custo de ter conntrack: não passe
> pela conntrack o tráfego roteado, apenas o tráfego que tenha a
> caixa como destino.
>
> 1. Na tabela RAW, use -j NOTRACK para todo tráfego que não for local
> 2. Na tabela RAW, coloque a firewall stateless.
> 3. Na INPUT/OUTPUT, coloque as regras de controle de tráfego
>    destinado ao roteador, rate limit de ICMPs, use conntrack, etc.
> 4. Na FORWARD, coloque só o que for muito difícil de fazer na RAW.
>
> Lembre de filtrar na RAW todo o tráfego eBGP, só deve falar eBGP
> com teu roteador os IPs dos neighbours.
>
> Não use o roteador de borda como firewall geral. Bloqueie nele só o
> tráfego que nunca deve atravessar a borda: faça o ingress e
> egress filtering segundo os BCP 38 e 46.   E use IPSET no lugar de
> muitas regras, firewall em Linux é O(n), precisa ser otimizada na
> *mão* para funcionar como se fosse uma árvore.
>