Ускорение работы iptables CONNMARK

0

3

Имеем следующий набор правил:

Chain FORWARD (policy ACCEPT 579K packets, 2016M bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 CONNMARK   all  --  any    any     anywhere             anywhere             STRING match  "%D0%9C%D1%83%D1%80%D0%B0%D0%B4+%D0%A0%D0%B0%D0%B3%D0%B8%D0%BC%D0%BE%D0%B2" ALGO name kmp TO 65535 CONNMARK xset 0x2/0xfe
    0     0 CONNMARK   tcp  --  any    any     anywhere             anywhere             STRING match  "CONNECT " ALGO name kmp TO 65535 STRING match  "Proxy-Connection:" ALGO name kmp TO 65535 CONNMARK xset 0x2/0xfe
    0     0 REJECT     tcp  --  any    any     nbrd.local/16        anywhere             match-set tor dst reject-with tcp-reset
    0     0 CONNMARK   tcp  --  any    any     anywhere             anywhere             STRING match  "GET http://" ALGO name bm TO 65535 CONNMARK xset 0x2/0xfe
    0     0 REJECT     tcp  --  any    any     anywhere             anywhere             STRING match  "HTTP/" ALGO name bm TO 65535 connmark match  0x2/0xfe reject-with tcp-reset

Chain OUTPUT (policy ACCEPT 729 packets, 219K bytes)
 pkts bytes target     prot opt in     out     source               destination

При тесте скорости, выдаёт с правилами до 720Mbps.
Без правил да 1.80Gbps.
Вопрос? Как ускорить connmark и iptables в целом?

Ссылка

←	Скрипт, который будет проверять сервис MySQL на рабочее состояние

*undefined reference to `speex* - build pjsip

→

Ты уверен что тормозит CONNMARK, а не string match, а то последний - весьма прожорлив?

При тесте скорости, выдаёт с правилами до 720Mbps.

Загрузка процессора при этом ??

Pinkbyte ★★★★★
(11.08.17 17:04:58 MSK)
Последнее исправление: Pinkbyte 11.08.17 17:05:38 MSK (всего исправлений: 1)

Ответ на: комментарий от Pinkbyte 11.08.17 17:04:58 MSK

Как я понял, string может жрать ресурсы просто потому, что он весит в памяти? Даже если трафик под него не подподает? А какие есть альтернативы string?

ne-vlezay ★★★★★
(11.08.17 17:37:05 MSK) автор топика

Ответ на: комментарий от ne-vlezay 11.08.17 17:37:05 MSK

он не просто висит в памяти, в вашем случае он только первым правилом проверяет вообще все пакеты (proto all), проходящие через FORWARD

anonymous
(12.08.17 00:34:55 MSK)

Ответ на: комментарий от anonymous 12.08.17 00:34:55 MSK

Как я понял, получается такой DPI своего рода?

ne-vlezay ★★★★★
(12.08.17 00:37:29 MSK) автор топика

Ответ на: комментарий от ne-vlezay 12.08.17 00:37:29 MSK

Нет, получается такой ускоритель тепловой смерти Вселенной своего рода.

~~berrywizard~~ ★★★★★
(14.08.17 14:43:57 MSK)

Ссылка

    0     0 CONNMARK   tcp  --  any    any     anywhere             anywhere             STRING match  "GET http://" ALGO name bm TO 65535 CONNMARK xset 0x2/0xfe
    0     0 REJECT     tcp  --  any    any     anywhere             anywhere             STRING match  "HTTP/" ALGO name bm TO 65535 connmark match  0x2/0xfe reject-with tcp-reset

ТС, ты йобнутый наркоман. Осиль прозрачный squid.

anonymous
(15.08.17 03:15:15 MSK)

Ответ на: комментарий от anonymous 15.08.17 03:15:15 MSK

Зачим squid. У операторов давно DPI.

ne-vlezay ★★★★★
(15.08.17 09:54:50 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Скрипт, который будет проверять сервис MySQL на рабочее состояние

Admin

*undefined reference to `speex* - build pjsip

→

Похожие темы