Re: lug-bg: iptables performance (was: tail -f | grep ... | cat ... | awk ...)
- Subject: Re: lug-bg: iptables performance (was: tail -f | grep ... | cat ... | awk ...)
- From: emo@xxxxxxxxxx (Emil Tantilov)
- Date: Sat, 2 Feb 2002 19:11:38 -0800
On Saturday 02 February 2002 04:51 pm, you wrote:
> On Sunday 03 February 2002 01:03, you wrote:
> > Eh, az ne iskah da zapochwam woina za twa kolko dobar ili losh e iptables
> > - prosto spodelih nabludenie po waprosa ...
>
> nqma vojni, prosto share-vane na malko misli t.k. :)
i az taka smiatam :)
>
> > Nito pak kazah che reshenieto posocheno w po-predishnite email-i (
> > zabrawih weche s koia progy beshe) e losho - sigurno si ima swoite
> > dostoinstwa - ne sam go polzwal. W momenta sam s iptables ( BTW s nego
> > sashto moje da se filtrirat loshi packeti) i snort. (wapros na lichen
> > izbor).
>
> 4eki 4eki malko :) . stavashe vypros za edno po-universalno reshenie. da si
> pospestish malko trafik i ne samo tozi na port 80 :)
>
> > Kakto i da e - sled kato weche se zahwana spora - pak shte powtoria s
> > malko poweche podrobnosti:
> >
> > Pochti bez da iskam zabeliazah che ping-a kam niakoi game server-i
> > (Counter Strike) se uwelichi sled kato pusnah malak script koito dobawia
>
> e neznam ... no pinga mozhe da se ka4i poradi mnogo pri4ini/problemi
> vklu4itelno i fizi4eski. no mozhe i da si prav, ti si znaesh.
Absolutno wiarno - resultatite ot ping-a ne sa mnogo tochen pokazatel - moje
da e bilo ot mnogo neshta.
>
> > wsichkite "loshi" IP-ta kam iptables - i saotwetno se namali kato gi
> > mahnah ot filtera:
> >
> > iptables -A INPUT -i eth0 -p TCP -s $BADIP --dport 80 -j DROP
> >
> >
> > Kakto se wijda ot gornia red twa go pochnah zaradi Nimda/CodeCodeRed &
> > friends. Mejduwremenno (kakto predpolagam i powecheto ot was biha
> > naprawili) porowih po internet i namerih razlichni reshenia i mnenia po
> > waprosa - kato cialo se beshe pochnalo ot neshto podobno na moia script i
> > postepenno po prichini obiasneni ot awtorite kato nejelano pretrupwane na
> > filtera s reject-nati IP-ta w iptables biaha predlojeni drugi reshenia
> > ... az si izbrah towa sas httpd.conf.
>
> dobre, no Internet ne e samo service-a na port 80 :) ... A i Apaha ne e
> naj-byrziq demon na sveta, da ostavim 4e i kernela do golqma stepen mozhe
> da izzeme tezi funkcii na webservera ot user space to4no poradi performance
> pri4ini - no samo za static requests. Sega kakvo da prenesem packet
> filter/firewall koda v user-space li ? Performance drop x10 v naj-dobriq
> slu4aj :)
>
> > Malko poiasnenia:
> > 1. Scripta za sabirane na IP-tata, kakto i iptables prawilata izmislih i
> > napisah sam - taka che ne pretendiram da sa idealni nito optimizirani -
> > nishto chudno da sam gi "zabranil" ne kakto triabwa i winata za
> > zabawianeto da e moia (w koeto si zapazwam prawoto da se samniawam)
> >
> > 2. Sled kato obmislih neshtata ot wsichki strani - reshih che e po-dobre
> > da naprawia taka che da se reagira samo kogato ima problem - ako zabrania
> > wsichki "loshi" IP-ta samo zashtoto ne sa "bili poslushni" kogato sam gi
> > hwanal - to dori i kato stanat "dobri" pak shte sa zabraneni ...
>
> ama nikyf problem prez daden interval ot vreme da iz4istvash add-natite
> ve4e loshi IP-ta, i te ste stavat dobri do sledvashtiq pyt, kogato se
> uzdunqt, i taka :).
>
> > 3. W sluchaia sas "zabawianeto" imah predwid che filtrirabeto s iptables
> > moje da ima makar i malak (w powecheto sluchai nezabelejim) efekt warhu
> > barzodeistwieto. Waw wseki sluchai da se twardi che sas iptables ne se
> > towari servera ili pak niamat NIKAKWO wlianie warhi nego ...??? aide de
>
> e imat, no v slu4aq stava vypros za prenebrezhimo malko koli4estvo pravila.
> Vse edno da dobavish nqkolko vhost-a na Apacheto i da se srine performance
> ... nesto ot sorta. i stiga s tova iptables :) . Cqlata rabota se vyrshi ot
> Packet filtering coda v kernela, kojto byrka v headerite na preminavashtie
> ip paketi. Netfilter v Linux 2.4 mozhe da se menagira i s ipchains i
> ipfwadm. No tova nqma absolutno nikakvo kasatelstvo s performance na packet
> filtering koda v kernela... tova sa prosto instarumenti s 4iqto pomost si
> "govorish" s kernela. te samite nisto ne filtrosvat, blockvat i t.n.. i
> _ne_ sa 4ast ot kernela... Za da polzvash Linux 2.4 Netfilter s ipchains i
> ipfwadm (trqbva da imash instalirani tezi toolz estestveno) i kernel modula
> ip_tables.o da _NE_ byde zareden ili compiled-in, a da zaredish ipchains.o
> i ipfwadm.o kernel modulite. Tova e specialna usluga za tezi koito
> izpitvat nostalgiq po old ipfwadm/ipchains days...
>
> > Sajaliawam ako sam zasegnal niakoi, ili ste me razbrali pogreshno - twa
> > ne mi e bila celta.
>
> molq molq, nqma kakvo da se zasqgame :) . Nqma bezgreshni hora i systemi.
> Oh, az se predavam :)
Kato bez da iskam ia otworih taia tema - az se porowih malko po internet. Po
waprosa za performance:
http://industrial-linux.org/mlug/2001-10-13/iptables_thruput.txt
Sashto w niakoi mail listowe widiah che hora se oplakwat ot performance loss
sas niakoi ot -ac kernel-ite (s iptables)...
regards,
Emo
===========================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers)
http://www.linux-bulgaria.org/ Hosted by Internet Group Ltd. - Stara Zagora
|