SokolovS Posted March 24, 2010 Posted March 24, 2010 Если для TCP соединений отключить conntrack с помощью NOTRACK, а stateful для TCP сделать с помощью --syn, уменьшит ли это нагрузку от conntrack? Я бы конечно совсем отключил conntrack но stateful требуется. Вставить ник Quote
voron Posted March 25, 2010 Posted March 25, 2010 stateful для TCP сделать с помощью --syn это не настоящий stateful, некоторая эмуляция NEW только. Conntrack обычно нужен только для NAT'а и для конструкций вида iptables -I OUTPUT 1 -m state --state ESTABLISHED,RELATED -j ACCEPT чтобы не прогонять пакеты из уже установленных соединений ещё раз по правилам фаервола. Для routed-трафика без NAT conntrack не нужен обычно. Вставить ник Quote
Ivan Rostovikov Posted March 25, 2010 Posted March 25, 2010 А как вообще оценить степень загруженности системы от механизма Conntrack ? Вставить ник Quote
Jugernault Posted March 25, 2010 Posted March 25, 2010 (edited) А как вообще оценить степень загруженности системы от механизма Conntrack ? OProfile... [root@xxx xxx]# opreport -l | less CPU: Core 2, speed 2327.32 MHz (estimated) Counted CPU_CLK_UNHALTED events (Clock cycles when not halted) with a unit mask of 0x00 (Unhalted core cycles) count 100000 samples % image name app name symbol name 127204 11.0229 nf_conntrack nf_conntrack /nf_conntrack 116900 10.1300 ip_tables ip_tables /ip_tables 81166 7.0335 e1000e e1000e /e1000e 63942 5.5409 pppoe pppoe /pppoe 59542 5.1597 ipt_NETFLOW ipt_NETFLOW /ipt_NETFLOW 38714 3.3548 vmlinux vmlinux tcp_sendmsg 37260 3.2288 vmlinux vmlinux tcp_transmit_skb 31798 2.7555 vmlinux vmlinux tcp_write_timer 24369 2.1117 vmlinux-unknown vmlinux-unknown /vmlinux-unknown 23889 2.0701 ppp_generic ppp_generic /ppp_generic 22696 1.9667 vmlinux vmlinux fb_find_mode 20284 1.7577 ts_kmp ts_kmp /ts_kmp 18511 1.6041 vmlinux vmlinux __generic_block_fiemap 17676 1.5317 vmlinux vmlinux native_calibrate_tsc 13569 1.1758 iptable_nat iptable_nat /iptable_nat 13491 1.1691 vmlinux vmlinux rt_worker_func 13315 1.1538 nf_nat nf_nat /nf_nat 12475 1.0810 vmlinux vmlinux tcp_create_openreq_child 11294 0.9787 nf_conntrack_ipv4 nf_conntrack_ipv4 /nf_conntrack_ipv4 ... ... ... Edited March 25, 2010 by Jugernault Вставить ник Quote
SokolovS Posted March 25, 2010 Author Posted March 25, 2010 Для routed-трафика без NAT conntrack не нужен обычно.Как так то? А если нужно фаерволить в зависимости от состояния, типа режим невидимки, "ты видишь все тебя никто".Ну те я правильно думаю если для TCP сделать NOTRACK, то загрузка от conntrack уменьшится? Вставить ник Quote
voron Posted March 25, 2010 Posted March 25, 2010 Как так то? А если нужно фаерволить в зависимости от состояния, типа режим невидимки, "ты видишь все тебя никто".то это уже не подпадает под "обычно".Ну те я правильно думаю если для TCP сделать NOTRACK, то загрузка от conntrack уменьшится?NOTRACK нужно делать не для tcp, а для того трафика, для которого вам не нужны состояния в фаерволе и которому не нужен conntrack для прохождения. Основной и зачастую единственный кандидат для NOTRACK на бордере это как раз routed-трафик реальных IP юзеров. "Невидимку" можно частично эмулировать через дроп syn'ов, идущих из мира на реальные IP юзеров. Вставить ник Quote
Ilya Evseev Posted March 25, 2010 Posted March 25, 2010 perf topurl? perfctr на cpu q6600 работать отказался: # perfex -L CPU type Intel Core 2 One time-stamp counter available 5 performance counters available Overflow interrupts available The event list for this CPU type is not available # Вставить ник Quote
vitalyb Posted March 25, 2010 Posted March 25, 2010 url? http://kernelnewbies.org/Linux_2_6_31#head...baf0a04fe22f19c Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.