+ Responder ao Tópico



  1. #1

    Padrão Regras em Iptables podem provocar lentidão no sistema?

    Ola,

    Tenho uma duvida basica com relação ao firewall iptables. se todo pacote que passa por um servidor eh processado pelo firewall, ele executa todas as regras para testar se aquele pacote eh permitido ou não, então no caso de se criar varias regras, pois se sabe a flexibilidade do iptables em relação a isto, será que nao compromete o desempenho do server. Por exemplo, regras de bloqueio de mac, vejo artigos com 5 linhas por ip-mac, se vc tem 100 clientes, que eh o minimo que um provedor de radio/cabo tem, são 500 linhas a mais para ser tratada pelo kernell.

    O q quero questionar eh, esta quantidade de regras influenciam no desempenho do servidor???

  2. #2
    mcm
    Visitante

    Padrão Regras em Iptables podem provocar lentidão no sistema?

    Teoricamente sim, pois o kernel tem um workload maior.

    Mas, na prática, pode ser que isso nem seja sentido.

    Em sistemas Unix (o Linux é um Unix-like), tudo já passa pelo kernel por padrão. O kernel tem que enxergar e controlar tudo.

    Eu recomendo efetuar testes. Dependendo do ambiente e do workload do servidor, isso pode nem ser sentido.

  3. #3

    Padrão Regras em Iptables podem provocar lentidão no sistema?

    E vale lembrar tambem que para cada pacote ele pega a primeira regra que coincide, nao olhando o resto, entao se voce por um accept um deny depois nao serve de nada.

    falows

  4. #4

    Padrão Regras em Iptables podem provocar lentidão no sistema?

    pode interferir sim... mais acedito que nao seja tao signicante assim.
    tb pensei nisso uma vez.

    o que vc pode fazer, eh segmentar seu firewall em varias chains... ao invez de deixar tudo nas chains primarias.

    ex:
    iptables -n pacotes_tipo_tcp
    iptables -a pacotes_tipo_tcp -p TCP -m state --state ESTABLISHED, RELATED -j ACCEPT
    iptables -a pacotes_tipo_tcp -p TCP --syn -m state --state NEW -j ACCEPT

    iptables -a input -p tcp -j pacotes_tipo_tcp
    iptables -a input -p udp -j accept

    o que eu quero dizer com exemplo acima...
    para o pacote udp ser aceito, ele so passa por uma regra que eh a "iptables -a input -p tcp -j pacotes_tipo_tcp" e em seguida cai na regra pra ele. se não utilizarmos a chain "pacotes_tipo_tcp" e colocar o conteudo da mesma na chain primaria input, para a solicitacao udp ser aceita, teria que passar por duas regras.
    esse é um exemplo besta, mais com ele você pode tirar muito proveito.


    o seu trafego eh muito grande? como eh a situacao ae?

    []´s

  5. #5

    Padrão Re: Regras em Iptables podem provocar lentidão no sistema?

    Influencia sim quanto mais enxuto o firewall melhor desempenho tera a seu server e consequentemente a sua rede !!!

    No seu caso recomendo utilizar a tabela arp, pois imagina um script com no minimo 500 linhas e locura !!!

    Abraçao !!!