+ Responder ao Tópico



  1. Ola,

    Tenho uma duvida basica com relação ao firewall iptables. se todo pacote que passa por um servidor eh processado pelo firewall, ele executa todas as regras para testar se aquele pacote eh permitido ou não, então no caso de se criar varias regras, pois se sabe a flexibilidade do iptables em relação a isto, será que nao compromete o desempenho do server. Por exemplo, regras de bloqueio de mac, vejo artigos com 5 linhas por ip-mac, se vc tem 100 clientes, que eh o minimo que um provedor de radio/cabo tem, são 500 linhas a mais para ser tratada pelo kernell.

    O q quero questionar eh, esta quantidade de regras influenciam no desempenho do servidor???

  2. #2
    mcm
    Teoricamente sim, pois o kernel tem um workload maior.

    Mas, na prática, pode ser que isso nem seja sentido.

    Em sistemas Unix (o Linux é um Unix-like), tudo já passa pelo kernel por padrão. O kernel tem que enxergar e controlar tudo.

    Eu recomendo efetuar testes. Dependendo do ambiente e do workload do servidor, isso pode nem ser sentido.



  3. E vale lembrar tambem que para cada pacote ele pega a primeira regra que coincide, nao olhando o resto, entao se voce por um accept um deny depois nao serve de nada.

    falows

  4. pode interferir sim... mais acedito que nao seja tao signicante assim.
    tb pensei nisso uma vez.

    o que vc pode fazer, eh segmentar seu firewall em varias chains... ao invez de deixar tudo nas chains primarias.

    ex:
    iptables -n pacotes_tipo_tcp
    iptables -a pacotes_tipo_tcp -p TCP -m state --state ESTABLISHED, RELATED -j ACCEPT
    iptables -a pacotes_tipo_tcp -p TCP --syn -m state --state NEW -j ACCEPT

    iptables -a input -p tcp -j pacotes_tipo_tcp
    iptables -a input -p udp -j accept

    o que eu quero dizer com exemplo acima...
    para o pacote udp ser aceito, ele so passa por uma regra que eh a "iptables -a input -p tcp -j pacotes_tipo_tcp" e em seguida cai na regra pra ele. se não utilizarmos a chain "pacotes_tipo_tcp" e colocar o conteudo da mesma na chain primaria input, para a solicitacao udp ser aceita, teria que passar por duas regras.
    esse é um exemplo besta, mais com ele você pode tirar muito proveito.


    o seu trafego eh muito grande? como eh a situacao ae?

    []´s



  5. Influencia sim quanto mais enxuto o firewall melhor desempenho tera a seu server e consequentemente a sua rede !!!

    No seu caso recomendo utilizar a tabela arp, pois imagina um script com no minimo 500 linhas e locura !!!

    Abraçao !!!






Tópicos Similares

  1. Duvida em uma Regra de IPTABLES
    Por wallacef no fórum Segurança
    Respostas: 9
    Último Post: 10-01-2006, 15:41
  2. Limpar as Regras de IPTables no Cron
    Por flaviobatistela no fórum Servidores de Rede
    Respostas: 11
    Último Post: 02-11-2005, 23:39
  3. Em qual arquivo eu configuro as regras do iptables?
    Por Duca no fórum Servidores de Rede
    Respostas: 17
    Último Post: 21-09-2005, 19:47
  4. Regra de Iptables no FreeBSD
    Por mcyberx no fórum Sistemas Operacionais
    Respostas: 3
    Último Post: 01-09-2005, 17:27
  5. Cadastrar usuários no sistema em Perl...
    Por jiraya no fórum Servidores de Rede
    Respostas: 1
    Último Post: 29-05-2005, 17:35

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L