ipfw + top

[Petr Bezděk]

Josef Hrabec napsal(a):
> kdybych mel ve firewallu prilis mnoho pravidel tak, ze pri pruchodu paketu
> timto firwallem zalozenem na ipfw dochazi k citelnemu zpozdovani... bylo by
> toto patrne napr. na vyraznejsim zatizeni procesoru pri zobrazeni pomoci
> top?

Filtrovani paketu pomoci IPFW je zalezitost jadra - IPFW bezi na urovni 
kernelu nikoliv user space procesu. Takze na vypise topu neuvidite 
proces, ktery by predstavoval samotne filtrovani pomoci IPFW.

Kolik casu travi procesor v kernel space-u je videt v topu u polozky 
system. Takze jestlize mate vysoke cislo u polozky system, je to znamka 
toho, ze jadro travi hodne casu napr. prochazenim pravidel IPFW nebo 
obsluhou jinych udalosti bezicich na urovni jadra.

Jestlize zhodite firewall a k latencim nedochazi, je to zrejme znamka 
toho, ze problem je na strane poctu pravidel IPFW, pripadne se vam tam 
vloudila nejaka chybka. Potom van nezbude nic jineho nez se pokusit 
pravidla IPFW nejak optimalizovat - pouzivat skoky, pripadne se 
zamyslet, jestli stavajici pravidla nejdou napsat pomoci mene pravidel, 
nebo pouzivate-li dynamicka pravidla, tak zvazit moznost pouzivani jen 
pravidel statickych.

Kolik pravidel ma vas aktualni firewall a jak rychle vam data tecou pres 
router?

-- 
Petr Bezděk