Como otimizar iptables para tráfego de DNS alto?

Question

Como otimizar iptables para tráfego de DNS alto?

#1 resposta do (5 votos)
#2 resposta do (2 votos)
#3 resposta do (0 votos)

2

Como otimizar o iptables para tráfego de DNS alto? Eu tenho um servidor Linux dedicado atuando como firewall em ponte usando o iptables. Recentemente, por trás do firewall foi implantado servidor DNS com alta carga e firewall começou a trabalhar lento. Algumas dicas, como tornar o firewall mais eficaz?

optimization iptables linux domain-name-system performance-tuning

por Kazimieras Aliulis 03.02.2010 / 12:07

3 respostas

2

Se você suspeitar que o iptables está queimando muita CPU com o tráfego DNS, sugiro que você reorganize as regras para que você saia das tabelas de firewall o mais rápido possível.

Coloque as regras de DNS no topo da tabela apropriada.

por 03.02.2010 / 12:11

0

Por causa do alto número de conexões, se você não precisa do conntrack, você pode desativá-lo:

iptables -t raw -I PREROUTING -j NOTRACK

por 03.02.2010 / 18:04

Tags optimization iptables linux domain-name-system performance-tuning

Duas LANs diferentes Dois ISPs diferentes apenas uma impressora de rede Determinar a velocidade do barramento no Windows Server 2008 R2

score 5 · Accepted Answer

Você não deve registrar as regras de tráfego permitidas, para evitar logs excessivos (e assim, o tempo para gravar logs). Os pacotes de DNS são pequenos, mas em números excepcionais. Você firewall pode não ser capaz de lidar com esse número de pacotes por segundo.

faz o ifconfig -a reporta drop / errors / overruns / collisions?

Você pode usar o iptraf para obter o número de pacotes por distribuição de tamanho:

iptraf -i eth0 -z eth0

Você pode adicionar afinidade de cpu por cartão de rede, para aumentar o número de pps que ele pode manipular

Você pode esgotar a tabela de conexões. Você pode usar a opção NOTRACK para que o tráfego de DNS não seja retido nas tabelas de conexão, melhorando assim o desempenho.