|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Al Zaharov 2:5005/58.88 08 Sep 2001 00:19:04
To : Aleksey Barabanov
Subject : Re: Masquerading
--------------------------------------------------------------------------------
> "Снижение нагрузки на файрвол" это очень интересная тема. Меня например
> очень занимает вопрос насколько сильно файрвол тормозит. А если он еще и
> правил несет так под пол-К ? Увы ничего об этом не знаю. Хотя, судя по
сам не видел, но общался с неким германцем, который пользует для обсчета
трафика окола 300 пользователей в трех С сетках именно ipchains (суть
все-равно одна - что iptables, что ipchains) в итоге получает около 2000
правил, с его слов, данная конструкция жестоко тормозит.. но при
применении иерархической системы для построенияя правил, все становится
очень даже неплохо - все пользователь ходят наружу и проблем нет, канал
наружу - 100 мбит.. (хотя все это довольно суб[ективно)..
> тексту и по структуре, netfilter построен более тормозно чем ipchains.
> Поскольку в нем можно организовывать очень длинную цепочку проверок
> опций одного пакета ( -m и т.д. ).
но ведь можно и не организовывать.. :)
>>
>> Каким образом?
> Естественно для этого надо разместить набор идентичных сетевых ресурсов
> за NAT-боксом. А "заодно" будет заключатся в том, что NAT сам будет
> раскидывать на них нагрузку. Hапрмер так можно втыкать (не делал, только
> предполагаю {типа не цепляться ;)} ) почтовики, обремененные фильтрацией
> содержимого писем.
посмотрим файл BALANCE.patch.configure.help:
-- начнем --
CONFIG_IP_NF_TARGET_REDIRECT
BALANCE NAT target support
CONFIG_IP_NF_TARGET_BALANCE
This option adds a `BALANCE' target, which works like the standard
DNAT target, but attempts to spread out the load over a range of IP
addresses.
If you want to compile it as a module, say M here and read
Documentation/modules.txt. The module will be called
ipt_BALANCE.o. If unsure, say `N'.
-- закончим --
но надо иметь ввиду, что:
-- начнем --
Author: Rusty Russell <rusty@rustcorp.com.au>
Status: In Development
^^^^^^^^^^^^^^
This adds CONFIG_IP_NF_TARGET_BALANCE option, which is similar to
DNAT: it takes a range of addresses (`--to-dest 1.2.3.4-1.2.3.7') and
spreads the load out over them.
THIS PATCH IS INCOMPATIBLE WITH dropped-table
-- закончим --
кстати, этот самый dropped-table патч - тоже очень даже прикольная штучка:
-- начнем --
Author: Rusty Russell <rusty@rustcorp.com.au>
Status: Beta, redesign underway, applies now to 2.4.4-final
This patch adds a `drop' table to iptables, adding a
CONFIG_IP_NF_DROPTABLE option. Packets which are going to be dropped
by the NAT or routing code (among others) will traverse this table,
allowing them to be logged.
THIS PATCH WILL BREAK OTHER PATCHES
(irc-conntrack-nat,talk,NETMAP,SAME,...)
-- закончим --
правда, ломает целую кучу других не менее прикольных патчей..
зы. а простой dnat не очень подходит для балансировки (точнее, совсем не
подходит)
--
wbw, kaiser
--- tin/1.4.4-20000803 ("Vet for the Insane") (UNIX) (Linux/2.4.9 (i686))
* Origin: e-will (2:5005/58.88)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: Masquerading |
Al Zaharov |
08 Sep 2001 00:19:04 |
|
|
