shaping provozu

Dan Lukes dan at obluda.cz
Wed Feb 7 10:11:45 CET 2007


Zbyněk Burget napsal/wrote, On 02/07/07 09:25:
> Ten snort nevypada na prvni pohled uplne spatne. obavam se ale, ze 
> system analyzy logu a podle nej prepisovani ipfw ruli nejakym skriptem 
> nebude realny u site s tokem ve spicce kolem 10 mbit.
> Kdyby to bylo 50 pocitacu, jeste by se to asi dalo osefovat, ale u 
> neceho vetsiho asi uz ne.
> Jo, kdyby snort mohl vratit packet do IPFW s nejakym flagem, na zaklade 
> ktereho bych rozhodl, co s nim dal, to by bylpresne to, co potrebuju. 
> Ale tohle bohuzel asi neumi - tedy ja nic takoveho aspon v dokumentaci 
> snortu nenasel a ani o takovem mechanismu v IPFW nevim.


	Mechanismus v IPFW2 je. TAGovani paketu jako takove mozne je po dobu 
jejich zpracovani v kernelu. IPFW umi paket oznacit a (ne)existence 
oznaceni lze pouzit v matchovaci podmince nejakeho pravidla, nicmene, 
TAGy jsou v ramci kernelu opravdu dostupne opravdu obecne, takze tento 
mechanismus mohou pouzivat i jine komponenty, ktere se k paketum v jadre 
dostanou.

	Ale obavam se, ze tento mechanismus je SNORTu nedostupny. Ja ho sice 
neznam, ale podle toho, co padlo tady, tak on sedi na nejakem read-only 
rozhrani (bpf?), analyzuje pakety, a kdyz chce vyvolat nejakou akci, tak 
musi pouzit nekoho jineho - zmenit pravidla ipfw nebo tak. Sam pakety 
podle vseho menit neumi.

	Jinak je ale na siti s tokem ~10Mbps davat pozor i na tohle - na te uz 
je videt kazde pravidlo, kterym paket v ipfw musi projit, takze je 
jejich pocet dulezite drzet na co nejmensim cisle.

	Na takovehle siti, podle pripojeni soudim, ze to je velka sit, uz mam 
ale za jiste, ze technicka opatreni jsou sice mozna, ale vhodnejsi 
metodou reseni jsou opatreni organizacni.

						Dan



-- 
Dan Lukes                                   SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz,dan at kolej.mff.cuni.cz





More information about the Users-l mailing list