photon Опубликовано 17 октября, 2009 · Жалоба Есть ipset для массового блокирования по IP одним правилом в iptables. Разве он менее эффективен, чем правила ip rule или фильтры tc для каждого IP? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 17 октября, 2009 · Жалоба При просто загрузке iptables в память уже получаем гемморой с блокировками Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
photon Опубликовано 17 октября, 2009 (изменено) · Жалоба Т.е. получается, что наиболее MP-safe вариантом конфигурации шейпера является следующий: классификация с помощью u32 hashing filters и блокирование пользователей с помощью policing filters. Изменено 17 октября, 2009 пользователем photon Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 17 октября, 2009 · Жалоба Более правильно не блочить юзеров на бордере. u32 не факт что CPU friendly, у меня в профайлинге они как-то не очень красиво выглядят, а тюнить их не так уж и просто Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
photon Опубликовано 18 октября, 2009 · Жалоба Более правильно не блочить юзеров на бордере. Я не про бордер, а про shaping bridge, который перед бордером. Там должников блочить логичнее всего. А злоумышленников из внешней сети, естествнно, надо блочить на бордере. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 18 октября, 2009 · Жалоба Еще интересное проскочило. My goal is tearing down 100,000 interfaces in a few seconds, which really is necessary. Right now we're running about 40,000 interfaces on a not yet saturated 10Gbps link. Going to dual 10Gbps links means pushing more than 100,000 subscriber interfaces, and it looks like a modern dual socket system can handle that. Более правильно не блочить юзеров на бордере.Я не про бордер, а про shaping bridge, который перед бордером. Там должников блочить логичнее всего. А злоумышленников из внешней сети, естествнно, надо блочить на бордере. Я шейплю на NAS-ах сразу, и они у меня redundant и load-balanced. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 18 октября, 2009 · Жалоба >Я шейплю на NAS-ах сразу... +1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Мартен Опубликовано 18 февраля, 2010 · Жалоба Коллеги, у кого какие данные по hyper-threading'у: стОит ли включать на Linux-роутере? Будет ли влиять на производительность, и, если да, то в какую сторону? Роутер: CPU Intel Core i7 920, M/B на Intel X58. BGP, NAT, шейпинг (HTB), iptables, netflow Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dyr Опубликовано 18 февраля, 2010 · Жалоба А если не секрет, сколько у вас сейчас на данном железе тянет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Мартен Опубликовано 18 февраля, 2010 · Жалоба трафик именно через него 100...150Mbit/s, 2FV. всего на роутинг работают 3 виртуальных ядра (HT сейчас включен) из 8, одно ~10%, одно ~20%, одно ~30%. в планах еще оптимизация правил iptables, добавление tc hash (сейчас именно шейпинг создает основную нагрузку). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dyr Опубликовано 19 февраля, 2010 · Жалоба Что-то как-то дофига. Сравниваю со своим Core2Duo, через который проходит примерно столько же, но под FreeBSD. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Мартен Опубликовано 20 февраля, 2010 · Жалоба тут дело в шейпере. сейчас 1300 правил на нем, но без хеша. это сильно грузит проц. без него раза в 2 меньше грузит. да, не забывайте, что ядра тут гипертрединговые, т.е. виртуальные. как будет без HT, не знаю пока. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...