iptables/conntrack-Tuning fuer DNS

29/05/2015 - 19:51 von Florian Weimer | Report spam
Kennt jemand eine Anleitung, wie man mit den conntrack-Tools das
Connection Tracking für DNS optimiert? D.h. wenn das Antwortpaket
hereinkommt, wird der zugehörige Eintrag aus dem Connection Tracking
entfernt (dank Source Port Randomization) ergibt alles andere ja
keinen Sinn mehr.

Ich werde aus den nfct-Quellen nicht so recht schlau, und es ist für
mich nicht einmal klar, ob das auf diesem Wege geht.
 

Lesen sie die antworten

#1 Marc Haber
29/05/2015 - 20:15 | Warnen spam
Florian Weimer wrote:
Kennt jemand eine Anleitung, wie man mit den conntrack-Tools das
Connection Tracking für DNS optimiert? D.h. wenn das Antwortpaket
hereinkommt, wird der zugehörige Eintrag aus dem Connection Tracking
entfernt (dank Source Port Randomization) ergibt alles andere ja
keinen Sinn mehr.



Der kanonische Weg ist NOTRACK und stateless Paketregeln. Sonst
explodiert einem auf einem System, das nur moderat unter Last steht,
die State Table. Siehe auch die PowerDNS Doku.

Grüße
Marc
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

Ähnliche fragen