ipfw: beznych sluzeb od p2p
Dan Lukes
dan at obluda.cz
Thu Oct 21 13:04:48 CEST 2004
Zbyněk Burget wrote:
>> Technicke reseni uz jsem tu zminoval v minulosti (dokonce jsem
>> rozesilal zdrojaky) - ipfw mi do "divert" portu posila kopii ("tee")
>> vsech relevantnich paketu, pomerne jednoduchy (vlastnorucne napsany,
>> nicmene cast pochazi z "natd") daemon data pro jednotlive IP scita a
>> jednou za cas (u nas ted 300s) posila sumarizace do MySQL databaze
>> (nebo textoveho souboru). Tam probiha dalsi zpracovani (jako napriklad
>> pocitani tech plovoucich souctu za poslednich 168 hodin pro kazdou IP).
> proc se pouziva takovyto mechanismus pocitani, proc nepouzivate napr.
> port ipa?
To je proste. V dobe, kdy jsem potreboval vyresit tento problem mi bud'
jeho existence zustala utajena, nebo jsem ho vyhodnotil jako
nepouzitelny. Priznam se, ze uz si nepamatuju, jestli jsem ho videl.
Nicmene, jak jsem tak ted do nej narychlo kouknul, jestli to chapu
spravne, tak "ipa" neprovadi vlastni pocitacni - je odkazana na cisla,
ktera se pocitaji v ramci ipfw ruli.
Experimentalne mame vyzkouseno, ze uz pomerne maly pocet pravidel ma
viditelny negativni dopad na pruchodnost routeru (mozna je treba
poznamenat, ze se bavime o routeru s *prumernym* tokem 45Mb/s a
spickovymi pres 200Mb/s) - takze jakekoliv pouziti ipfw je pro nas v
teto souvislosti tabu ...
Organizaci pravidel do binarniho stromu lze sice jeho hloubku (pocet
prochazenych pravidel) vyrazne snizit, ale ani tak nejsou vysledky
prijatelne - (nemluve o tom, ze se ve firewallu, ktery obsahuje neco
takoveho, nelze potom naprosto vyznat).
Coz je odpoved i na dotaz, ktery nasledoval.
Soucasne reseni nezmnozuje pocet pravidel firewallu, pricemz zatizeni
systemu (Pentium(R) 4 CPU 2.00GHz) zpusobene scitacim daemonem
nepresahuje jednotky procent (mirne se meni v zavislosti na aktualnim
toku) - to uz ma daleko vetsi podil na zatizeni obsluha preruseni od
sitove karty.
> Jsou ty zdrojaky toho vaseho demona nekde k dispozici?
Ano, poslu.
Mimochodem, mate-li zajem prohlednout si dopad zavedeni tohoto omezeni
v praxi, je to pekne videt na
http://spider.kolej.mff.cuni.cz/htmls/sw-s-01.mgmt_2.html
To je graf toku na vnejsi lince routeru. Myslim, ze sami odhalite, ze k
zavedeni omezeni doslo na konci letosniho ledna.
Dan
More information about the Users-l
mailing list