[MASOCH-L] Alto uso de software interrupts (%si + irqs/seq) ksoftirqd

"Tiago A. Peçanha" tiago at symetric.com.br
Thu Nov 29 19:59:21 -03 2012


Adicionando mais um processador nesta máquina eu conseguiria impacto 
positivo no gerenciamento de irqs?

Outro detalhe, existe alguma maneira de jogar parte destes processos do 
conntrack pra RAM? Quero cachear mais itens na memória, esto com uns 8GB 
livres efetivamente.

Em 29/11/2012 09:53, Henrique de Moraes Holschuh escreveu:
> On 28-11-2012 18:41, Lucas Willian Bocchi wrote:
>>  As regras que você usa, como estas que verificam os estados,
>>  necessitam que o kernel conheça esse estado. Esse "conhecimento" é
>>  feito pela tabela conntrack.
>>
>>  É altamente desaconselhado usar num roteador com BGP as tabelas de
>>  conntrack, pois aumenta o processamento. Por isto te dou a idéia de
>>  dividir o trabalho: estas máquinas ficam com o BGP somente e o
>>  firewall você colocaria em uma outra máquina. Uma faz o trabalho de
>>  somente decidir as rotas e a outra faz somente o trabalho de
>>  firewall.
>
> Existe alternativa, que diminui o custo de ter conntrack: não passe
> pela conntrack o tráfego roteado, apenas o tráfego que tenha a
> caixa como destino.
>
> 1. Na tabela RAW, use -j NOTRACK para todo tráfego que não for local
> 2. Na tabela RAW, coloque a firewall stateless.
> 3. Na INPUT/OUTPUT, coloque as regras de controle de tráfego
>    destinado ao roteador, rate limit de ICMPs, use conntrack, etc.
> 4. Na FORWARD, coloque só o que for muito difícil de fazer na RAW.
>
> Lembre de filtrar na RAW todo o tráfego eBGP, só deve falar eBGP
> com teu roteador os IPs dos neighbours.
>
> Não use o roteador de borda como firewall geral. Bloqueie nele só o
> tráfego que nunca deve atravessar a borda: faça o ingress e
> egress filtering segundo os BCP 38 e 46.   E use IPSET no lugar de
> muitas regras, firewall em Linux é O(n), precisa ser otimizada na
> *mão* para funcionar como se fosse uma árvore.
>




More information about the masoch-l mailing list