ipfw: beznych sluzeb od p2p

Dan Lukes dan at obluda.cz
Thu Oct 21 13:04:48 CEST 2004


Zbyněk Burget wrote:

>>     Technicke reseni uz jsem tu zminoval v minulosti (dokonce jsem 
>> rozesilal zdrojaky) - ipfw mi do "divert" portu posila kopii ("tee") 
>> vsech relevantnich paketu, pomerne jednoduchy (vlastnorucne napsany, 
>> nicmene cast pochazi z "natd") daemon data pro jednotlive IP scita a 
>> jednou za cas (u nas ted 300s) posila sumarizace do MySQL databaze 
>> (nebo textoveho souboru). Tam probiha dalsi zpracovani (jako napriklad 
>> pocitani tech plovoucich souctu za poslednich 168 hodin pro kazdou IP).

> proc se pouziva takovyto mechanismus pocitani, proc nepouzivate napr. 
> port ipa?

	To je proste. V dobe, kdy jsem potreboval vyresit tento problem mi bud' 
jeho existence zustala utajena, nebo jsem ho vyhodnotil jako 
nepouzitelny. Priznam se, ze uz si nepamatuju, jestli jsem ho videl.

	Nicmene, jak jsem tak ted do nej narychlo kouknul, jestli to chapu 
spravne, tak "ipa" neprovadi vlastni pocitacni - je odkazana na cisla, 
ktera se pocitaji v ramci ipfw ruli.

	Experimentalne mame vyzkouseno, ze uz pomerne maly pocet pravidel ma 
viditelny negativni dopad na pruchodnost routeru (mozna je treba 
poznamenat, ze se bavime o routeru s *prumernym* tokem 45Mb/s a 
spickovymi pres 200Mb/s) - takze jakekoliv pouziti ipfw je pro nas v 
teto souvislosti tabu ...

	Organizaci pravidel do binarniho stromu lze sice jeho hloubku (pocet 
prochazenych pravidel) vyrazne snizit, ale ani tak nejsou vysledky 
prijatelne - (nemluve o tom, ze se ve firewallu, ktery obsahuje neco 
takoveho, nelze potom naprosto vyznat).

	Coz je odpoved i na dotaz, ktery nasledoval.

	Soucasne reseni nezmnozuje pocet pravidel firewallu, pricemz zatizeni 
systemu (Pentium(R) 4 CPU 2.00GHz) zpusobene scitacim daemonem 
nepresahuje jednotky procent (mirne se meni v zavislosti na aktualnim 
toku) - to uz ma daleko vetsi podil na zatizeni obsluha preruseni od 
sitove karty.

> Jsou ty zdrojaky toho vaseho demona nekde k dispozici?

	Ano, poslu.

	Mimochodem, mate-li zajem prohlednout si dopad zavedeni tohoto omezeni 
v praxi, je to pekne videt na
http://spider.kolej.mff.cuni.cz/htmls/sw-s-01.mgmt_2.html

	To je graf toku na vnejsi lince routeru. Myslim, ze sami odhalite, ze k 
zavedeni omezeni doslo na konci letosniho ledna.

						Dan






More information about the Users-l mailing list