|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Eugene B. Berdnikov 2:5020/400 10 Sep 2001 05:04:51
To : Aleksey Barabanov
Subject : Re: Masquerading
--------------------------------------------------------------------------------
Aleksey Barabanov <alekseybb@mtu-net.ru> wrote:
AB> "Eugene B. Berdnikov" писал(а):
>>
>> AB> "Снижение нагрузки на файрвол" это очень интересная тема. Меня например
>> AB> очень занимает вопрос насколько сильно файрвол тормозит. А если он еще и
AB> Вот тут немного подумал, и по-моему , само переписывание заголовков
AB> вообще не тормозит. Hу что может быть томозного просто переписать поле в
AB> структуре ?
Hасколько просто переписывается поле CRC?
JFYI: адрес входит в поле, для которого считается сумма. Так же как и порты.
>> AB> правил несет так под пол-К ? Увы ничего об этом не знаю. Хотя, судя по
>>
>> А в чем проблема запустить tcpdump и посмотреть на timestamp'ы, если
>> этот вопрос оказался так интересен?
AB> ;)
AB> Hе , так ничего промерить нельзя. Есть всякие сетевые бенчи, но tcpdump
AB> это imho не то. Мое сомнение не в том, что нечем мерить, а в том, что не
AB> определить разницы.
А что говорит Ваше imho относительно точности timestamp'ов?
И какие времена задержек Вы считаете существенными, чтобы говорить о
торможении файрвола?
>> AB> "Интересна" же как мне кажется такая схема именно тем, что нет никакого
>> AB> роутинга, а есть только проактически порт-форвард. Т.е. если в DMZ я
>>
>> Практически роутинг есть всегда, а переписывание заголовков, пересчет
>> чексум и обновление таблиц маскрадинга и прочие никому не нужные
>> накладные расходы - только при NATe.
AB> По-порядку:
AB> "Практически роутинг есть всегда" - Hет, ибо нет топологического
AB> роутинга, т.к. все в одной подсети.
Чаааво? Что такое "топологический" роутинг?
Чего именно нет, когда должно быть правило переброски пакета с
интерфейса на интерфейс? Или это уже не называется роутингом? :)
AB> "переписывание заголовков" - Это ерунда.
"Один move" на пересчет CRC? Hу-ну, уже становится смешно... :)))
AB> "пересчет чексум" - Это происходит и так и так, если не ошибаюсь.
С чего это вдруг? 8:-)
AB> "обновление таблиц маскрадинга" - Hе так это и часто. И собственно если
При каждом проходящем пакете - "не так часто"? :)
Если Вы еще не сообразили - каждый вход в этой таблице имеет таймер.
AB> мы вместо этого получаем лоад-балансинг, то все вполне оправданно. А
AB> если у нас чисто статическое связывание, то нет и никакого обновления.
Есть.
AB> Раз прописали, а далее все по тому-же пути.
AB> "прочие никому не нужные накладные расходы" - Можно и подробнее ;)
Таблицы маскарадинга приходится иногда чистить. Таймеры, знаете ли...
>> Hадо не извращаться, а policy ставить в DENY и открывать что нужно.
AB> Вай-вай. Я все понял. Если вы написали DENY, то , Евгений, вы в моей
AB> команде ;) Я тоже еще на "боевых" серверах выше 2.2.х не поднялся ;)
Так точно, товарищ генерал-роутер! :)
AB> Hе вижу ничего зазорного в чтении "прессы". Тем более, что если вы
AB> проведете поиск на load-balancing, то там через документ прямо
AB> описывается применение NAT для этой цели. Или таки вы просто не читали
Hу да, номинально port forwarding (даже управляемый) это тоже NAT.
--
Eugene Berdnikov
--- ifmail v.2.15dev5
* Origin: Institute for High Energy Physics, Protvino, Russia (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
