iptables mit SEHR vielen Eintraegen?

25/04/2015 - 12:56 von Ulli Horlacher | Report spam
Wie kann man den CPU-Verbrauch von iptables messen?
Also nicht der Aufruf vom iptables-Programm, sondern die Abarbeitung der
Paket-Filterliste im Kernel.

Ich hab da sehr viele (>>10000) Eintraege und befuerchte, das bremst das
System aus.


Ullrich Horlacher Server und Virtualisierung
Rechenzentrum IZUS/TIK E-Mail: horlacher@tik.uni-stuttgart.de
Universitaet Stuttgart Tel: ++49-711-68565868
Allmandring 30a Fax: ++49-711-682357
70550 Stuttgart (Germany) WWW: http://www.tik.uni-stuttgart.de/
 

Lesen sie die antworten

#1 Marc Haber
25/04/2015 - 13:21 | Warnen spam
Ulli Horlacher wrote:
Wie kann man den CPU-Verbrauch von iptables messen?



Die system time geht hoch.

Also nicht der Aufruf vom iptables-Programm,



Das ist aber auch signifikant, weil bei jedem aufruf die komplette
Chain in den Userspace geladen wird, dort modifiziert und dann wieder
zurückgeschoben wird.

Ich hab da sehr viele (>>10000) Eintraege und befuerchte, das bremst das
System aus.



Bei viel Traffic kann das durchaus der Fall sein, wobei der Normalfall
eine ESTABLISHED, RELATED Regel sehr weit vorne ist, was den
Löwenanteil durchlàsst. Nach meiner Erfahrung wirkt sich da nur
gewaltig aus, wenn ein signifikanter Teil des Traffic am Ende in einem
"default drop" landet.

Abhilfe: Die Regeln intelligent in eine Baumstruktur umformen (z.B.
zuerst nach Netzen, dann nach Protokollen und dann nach Ports
vorsortieren), um die Anzahl der durchlaufenen, aber nicht matchenden
Regeln zu minimieren, oder in dem Fall mit "viel default drop" auf den
zu verwerfenden Traffic passende Regeln möglichst früh im Regelwerk
einfügen.

Grüße
Marc
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

Ähnliche fragen