Перейти к содержимому
Калькуляторы

Есть ipset для массового блокирования по IP одним правилом в iptables. Разве он менее эффективен, чем правила ip rule или фильтры tc для каждого IP?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

При просто загрузке iptables в память уже получаем гемморой с блокировками

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Т.е. получается, что наиболее MP-safe вариантом конфигурации шейпера является следующий: классификация с помощью u32 hashing filters и блокирование пользователей с помощью policing filters.

Изменено пользователем photon

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Более правильно не блочить юзеров на бордере.

u32 не факт что CPU friendly, у меня в профайлинге они как-то не очень красиво выглядят, а тюнить их не так уж и просто

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Более правильно не блочить юзеров на бордере.

Я не про бордер, а про shaping bridge, который перед бордером. Там должников блочить логичнее всего. А злоумышленников из внешней сети, естествнно, надо блочить на бордере.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Еще интересное проскочило.

My goal is tearing down 100,000 interfaces in a few seconds, which really is

necessary.  Right now we're running about 40,000 interfaces on a not yet

saturated 10Gbps link.  Going to dual 10Gbps links means pushing more than

100,000 subscriber interfaces, and it looks like a modern dual socket system

can handle that.

Более правильно не блочить юзеров на бордере.
Я не про бордер, а про shaping bridge, который перед бордером. Там должников блочить логичнее всего. А злоумышленников из внешней сети, естествнно, надо блочить на бордере.

Я шейплю на NAS-ах сразу, и они у меня redundant и load-balanced.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

>Я шейплю на NAS-ах сразу...

 

+1

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, у кого какие данные по hyper-threading'у: стОит ли включать на Linux-роутере? Будет ли влиять на производительность, и, если да, то в какую сторону?

Роутер:

CPU Intel Core i7 920, M/B на Intel X58.

BGP, NAT, шейпинг (HTB), iptables, netflow

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А если не секрет, сколько у вас сейчас на данном железе тянет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

трафик именно через него 100...150Mbit/s, 2FV.

всего на роутинг работают 3 виртуальных ядра (HT сейчас включен) из 8, одно ~10%, одно ~20%, одно ~30%.

в планах еще оптимизация правил iptables, добавление tc hash (сейчас именно шейпинг создает основную нагрузку).

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что-то как-то дофига. Сравниваю со своим Core2Duo, через который проходит примерно столько же, но под FreeBSD.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

тут дело в шейпере. сейчас 1300 правил на нем, но без хеша. это сильно грузит проц.

без него раза в 2 меньше грузит.

да, не забывайте, что ядра тут гипертрединговые, т.е. виртуальные. как будет без HT, не знаю пока.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.