ipfw + top

[Dan Lukes]

Josef Hrabec wrote:

> kdybych mel ve firewallu prilis mnoho pravidel tak, ze pri pruchodu paketu
> timto firwallem zalozenem na ipfw dochazi k citelnemu zpozdovani... bylo by

	To neni uplne presne. Pokud konkretni paket musi prochazet prilis mnoho 
pravidly, pak skutecne dochazi k citelnemu zpomaleni. S celkovym 
mnozstvim pravidel to nema mnoho spolecneho. Pokud je firewall vhodne 
navrzen, ty nejcastejsi pakety jsou vyrizeny nekterym z prvnich pravidel 
a tak, navzdory celkovemu vysokemu poctu pravidel, k nejakemu 
obzvlastnimu zpomaleni nedochazi.

	Napriklad firewall, na ktery prave koukam, ma 64 pravidel, ale 80% 
paketu je vyrizeno nekterym z prvnich osmi. Prumerny dlouhodoby tok 
routerem je 20Mb/s, spickovy ale az 110Mb/s (maximalni petiminutovy 
prumerny tok za poslednich 24 hodin) respektive 80Mb/s (maximalni 
dvouhodinovy prumerny tok za poslednich 30 dnu).

> toto patrne napr. na vyraznejsim zatizeni procesoru pri zobrazeni pomoci
> top?

	Zalezi od poctu pravidel, sily procesoru a typu sitove karty (nektere 
karty vyzaduji pro stejnou propustnost vyrazne vyssi "pozornost" 
procesoru nez jine - typickym prikladem nevhodnych karet do FreeBSD 
serveru jsou Realteky). V zasade se tedy pocet pravidel na zatizeni 
procesoru projevi, ale nekdy to muze byt vzhledem k neustalemu mirnemu 
kolisani zatizeni jen obtizne rozeznatelne.

	Na vyse zminenem stroji je aktualni tok cca 30Mb/s a zatizeni procesoru 
(Pentium 4/2Ghz) je okolo 10%, z toho ma ale okolo ctvrtiny "na svedomi" 
daemon pocitajici toky uzivatelu ...

	Ostatne, vypokusujte to sam - spuste si ten top a pak vetsinu pravidel 
(idealne vsechna) smazte - uvidite, jak se zatizeni procesoru a 
propustnost zmeni.

							Dan