[MASOCH-L] Alto uso de software interrupts (%si + irqs/seq) ksoftirqd
"Tiago A. Peçanha"
tiago at symetric.com.br
Thu Nov 29 10:06:51 -03 2012
Legal Henrique,
Vou tentar fazer algo nesses moldes. Dou um retorno pra vocês depois.
Em 29/11/2012 09:53, Henrique de Moraes Holschuh escreveu:
> On 28-11-2012 18:41, Lucas Willian Bocchi wrote:
>> As regras que você usa, como estas que verificam os estados,
>> necessitam que o kernel conheça esse estado. Esse "conhecimento" é
>> feito pela tabela conntrack.
>>
>> É altamente desaconselhado usar num roteador com BGP as tabelas de
>> conntrack, pois aumenta o processamento. Por isto te dou a idéia de
>> dividir o trabalho: estas máquinas ficam com o BGP somente e o
>> firewall você colocaria em uma outra máquina. Uma faz o trabalho de
>> somente decidir as rotas e a outra faz somente o trabalho de
>> firewall.
>
> Existe alternativa, que diminui o custo de ter conntrack: não passe
> pela conntrack o tráfego roteado, apenas o tráfego que tenha a
> caixa como destino.
>
> 1. Na tabela RAW, use -j NOTRACK para todo tráfego que não for local
> 2. Na tabela RAW, coloque a firewall stateless.
> 3. Na INPUT/OUTPUT, coloque as regras de controle de tráfego
> destinado ao roteador, rate limit de ICMPs, use conntrack, etc.
> 4. Na FORWARD, coloque só o que for muito difícil de fazer na RAW.
>
> Lembre de filtrar na RAW todo o tráfego eBGP, só deve falar eBGP
> com teu roteador os IPs dos neighbours.
>
> Não use o roteador de borda como firewall geral. Bloqueie nele só o
> tráfego que nunca deve atravessar a borda: faça o ingress e
> egress filtering segundo os BCP 38 e 46. E use IPSET no lugar de
> muitas regras, firewall em Linux é O(n), precisa ser otimizada na
> *mão* para funcionar como se fosse uma árvore.
>
More information about the masoch-l
mailing list