[SokolovS]

Если для TCP соединений отключить conntrack с помощью NOTRACK, а stateful для TCP сделать с помощью --syn, уменьшит ли это нагрузку от conntrack? Я бы конечно совсем отключил conntrack но stateful требуется.

[voron]

stateful для TCP сделать с помощью --syn

это не настоящий stateful, некоторая эмуляция NEW только. Conntrack обычно нужен только для NAT'а и для конструкций вида

iptables -I OUTPUT 1 -m state --state ESTABLISHED,RELATED -j ACCEPT

чтобы не прогонять пакеты из уже установленных соединений ещё раз по правилам фаервола. Для routed-трафика без NAT conntrack не нужен обычно.

[Ivan Rostovikov]

А как вообще оценить степень загруженности системы от механизма Conntrack ?

[nuclearcat]

perf top

 

[Jugernault]

А как вообще оценить степень загруженности системы от механизма Conntrack ?

OProfile...

 

[root@xxx xxx]# opreport -l | less

CPU: Core 2, speed 2327.32 MHz (estimated)
Counted CPU_CLK_UNHALTED events (Clock cycles when not halted) with a unit mask of 0x00 (Unhalted core cycles) count 100000
samples  %        image name               app name                 symbol name
127204   11.0229  nf_conntrack             nf_conntrack             /nf_conntrack
116900   10.1300  ip_tables                ip_tables                /ip_tables
81166     7.0335  e1000e                   e1000e                   /e1000e
63942     5.5409  pppoe                    pppoe                    /pppoe
59542     5.1597  ipt_NETFLOW              ipt_NETFLOW              /ipt_NETFLOW
38714     3.3548  vmlinux                  vmlinux                  tcp_sendmsg
37260     3.2288  vmlinux                  vmlinux                  tcp_transmit_skb
31798     2.7555  vmlinux                  vmlinux                  tcp_write_timer
24369     2.1117  vmlinux-unknown          vmlinux-unknown          /vmlinux-unknown
23889     2.0701  ppp_generic              ppp_generic              /ppp_generic
22696     1.9667  vmlinux                  vmlinux                  fb_find_mode
20284     1.7577  ts_kmp                   ts_kmp                   /ts_kmp
18511     1.6041  vmlinux                  vmlinux                  __generic_block_fiemap
17676     1.5317  vmlinux                  vmlinux                  native_calibrate_tsc
13569     1.1758  iptable_nat              iptable_nat              /iptable_nat
13491     1.1691  vmlinux                  vmlinux                  rt_worker_func
13315     1.1538  nf_nat                   nf_nat                   /nf_nat
12475     1.0810  vmlinux                  vmlinux                  tcp_create_openreq_child
11294     0.9787  nf_conntrack_ipv4        nf_conntrack_ipv4        /nf_conntrack_ipv4
...
...
...

Изменено 25 марта, 2010 пользователем Jugernault

[SokolovS]

Для routed-трафика без NAT conntrack не нужен обычно.

Как так то? А если нужно фаерволить в зависимости от состояния, типа режим невидимки, "ты видишь все тебя никто".

Ну те я правильно думаю если для TCP сделать NOTRACK, то загрузка от conntrack уменьшится?

[voron]

Как так то? А если нужно фаерволить в зависимости от состояния, типа режим невидимки, "ты видишь все тебя никто".

то это уже не подпадает под "обычно".

Ну те я правильно думаю если для TCP сделать NOTRACK, то загрузка от conntrack уменьшится?

NOTRACK нужно делать не для tcp, а для того трафика, для которого вам не нужны состояния в фаерволе и которому не нужен conntrack для прохождения. Основной и зачастую единственный кандидат для NOTRACK на бордере это как раз routed-трафик реальных IP юзеров. "Невидимку" можно частично эмулировать через дроп syn'ов, идущих из мира на реальные IP юзеров.

[Ilya Evseev]

perf top

url?

 

perfctr на cpu q6600 работать отказался:

# perfex -L
CPU type Intel Core 2          
One time-stamp counter available
5 performance counters available
Overflow interrupts available   

The event list for this CPU type is not available
#

[vitalyb]

url?

http://kernelnewbies.org/Linux_2_6_31#head...baf0a04fe22f19c