[MASOCH-L] Alto uso de software interrupts (%si + irqs/seq) ksoftirqd
Lucas Willian Bocchi
lucas.bocchi at gmail.com
Thu Nov 29 20:08:58 -03 2012
Em 29 de novembro de 2012 19:59, "Tiago A. Peçanha"
<tiago at symetric.com.br>escreveu:
> Adicionando mais um processador nesta máquina eu conseguiria impacto
> positivo no gerenciamento de irqs?
>
>
Muito provávelmente, mas você não deve levar em consideração somente isso
na hora de usar um softrouter em sua rede.
Procure nas threads da lista da GTER que você vai ver vários posts sobre o
assunto, e em sua maioria desqualificando a solução devido a complexidade
de manutenção da solução
> Outro detalhe, existe alguma maneira de jogar parte destes processos do
> conntrack pra RAM? Quero cachear mais itens na memória, esto com uns 8GB
> livres efetivamente.
>
> O connection tracking é um módulo do kernel, e não um processo comum. Seu
gerenciamento é feito automaticamente pelo kernel.
> Em 29/11/2012 09:53, Henrique de Moraes Holschuh escreveu:
>
>> On 28-11-2012 18:41, Lucas Willian Bocchi wrote:
>>
>>> As regras que você usa, como estas que verificam os estados,
>>> necessitam que o kernel conheça esse estado. Esse "conhecimento" é
>>> feito pela tabela conntrack.
>>>
>>> É altamente desaconselhado usar num roteador com BGP as tabelas de
>>> conntrack, pois aumenta o processamento. Por isto te dou a idéia de
>>> dividir o trabalho: estas máquinas ficam com o BGP somente e o
>>> firewall você colocaria em uma outra máquina. Uma faz o trabalho de
>>> somente decidir as rotas e a outra faz somente o trabalho de
>>> firewall.
>>>
>>
>> Existe alternativa, que diminui o custo de ter conntrack: não passe
>> pela conntrack o tráfego roteado, apenas o tráfego que tenha a
>> caixa como destino.
>>
>> 1. Na tabela RAW, use -j NOTRACK para todo tráfego que não for local
>> 2. Na tabela RAW, coloque a firewall stateless.
>> 3. Na INPUT/OUTPUT, coloque as regras de controle de tráfego
>> destinado ao roteador, rate limit de ICMPs, use conntrack, etc.
>> 4. Na FORWARD, coloque só o que for muito difícil de fazer na RAW.
>>
>> Lembre de filtrar na RAW todo o tráfego eBGP, só deve falar eBGP
>> com teu roteador os IPs dos neighbours.
>>
>> Não use o roteador de borda como firewall geral. Bloqueie nele só o
>> tráfego que nunca deve atravessar a borda: faça o ingress e
>> egress filtering segundo os BCP 38 e 46. E use IPSET no lugar de
>> muitas regras, firewall em Linux é O(n), precisa ser otimizada na
>> *mão* para funcionar como se fosse uma árvore.
>>
>>
> __
> masoch-l list
> https://eng.registro.br/**mailman/listinfo/masoch-l<https://eng.registro.br/mailman/listinfo/masoch-l>
>
More information about the masoch-l
mailing list