|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Valentin Nechayev 2:5020/400 12 Aug 2004 12:22:31
To : Aleksey Barabanov
Subject : Re: iptables transaction isolation?
--------------------------------------------------------------------------------
>>> Aleksey Barabanov wrote:
>> Есть нечто активно строящее и удаляющее цепочки и правила на iptables.
>> Таблица mangle, в цепочке forward - вызовы других цепочек (по клиентам).
AB> Через марки, так понимаю...
Hет, собственно вызовы - через интерфейсы (по типу -A -j $user --in-interface
$if). Марки ставятся для шейперов, но не используются в правилах как-то
иначе. DSCP классы тоже ставятся по классификации сетей, учитывается
в счётчиках в правилах.
>> По приходу клиента строится его личная цепочка и ссылки на неё
>> в forward, по уходу - обратный процесс. Управляет этим перловка,
>> дёргающая IPTables::IPv4.
>>
>> Чего не так: при массовом приходе/уходе клиентов (обрывы несущих линков,
>> рестарт сервера или подсистемы) начинается фигня - commit() мрёт с EAGAIN.
AB> Hа предмет рестарта где все храниться ? И не используется ли
AB> IPTables::IPv4::Dbtarpit в процессе работы ?
Hе используется.
Рестарта чего?
AB> Вопрос чисто из любопытства ;)
>> Лечили по-разному, но на пока остановились на простом, но слишком жёстком
>> варианте - все кто входят в init_table() делают flock(), после commit()
>> отпускают обратно. После введения этого уровень глюков резко уменьшился
>> (по-видимому, сказываются глюки на другом уровне).
>>
>> В общем, смотрю я на это безобразие и пытаюсь понять - кто был неправ?
>> libiptc, которая используется названным модулем? Или автор кода,
>> наивно полагающий, что так называемые транзакции оной библиотеки
>> имеют хоть какой-то уровень изоляции?
AB> А встречный вопрос. Я не использую всякого рода транзакции при
AB> манипулировании цепочками - предпочитаю их создавать по шагам.
Модуль иначе не умеет (он сам, libiptc - неважно). Он вначале init_table,
потом действия и потом commit(). Иначе надо было бы на каждое изменение -
init_table, само изменение и commit - задалбывает однако.
AB> Так вот
AB> вопрос, поскольку библиотека лишь интерфейс к ядру, то насколько указанное
AB> требование выполняется внутри ip стека? Как там с конкурентным
AB> save/restore? Проверялось ли, или есть ссылки на постинги в листах ?
Hе знаю, я немного попробовал покопать, но ничего толкового не нашёл.
Hаверно, не те слова вводил. ;))
AB> Если ядро не озабочено всякого рода блокировками, то "спасение утопающих в
AB> их собственных руках".
-netch-
--- ifmail v.2.15dev5.3
* Origin: Dark side of coredump (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
