iptables и количество правил

0

0

Народ! Как и какое количество правил в iptables может влиять на производительность системы? Кто-нибудь уже сталкивался с таким вопросом? Я хочу поставить на iptables файрвол, набор скриптов на его основе, кот. будут разрешать (запрещать) работу пользователям в сети после авторизации, а также подсчет трафика на каждого пользователя. Но по предварительным подсчетам набор правил получается довольно большим (200 юзеров, на каждого - с десяток правил). Как это отразится на скорости? машина - celeron 1000 128 ОЗУ.

Ссылка

←	как обезопасица?

NAT, iptables

→

по-моему лучше это сделать на основе vpn

borisych ★★★★★
(16.10.02 15:40:30 MSD)

Ссылка

Если твои юзера просто http будут скажем пользоваться
то я думаю практически никак
Но доказать правда не могу :-))

~~neshura~~ ☆
(16.10.02 20:41:15 MSD)

Ссылка

у меня на винчипе200 через ipchains юзалось около 250-400 правил , не считал я , но было их дофига :( после изменения концепции сети количество правил сократилось до 60 :) Но что 400 что 60 - на скорость НУ НИКАК не повлияло - что есть правила что их нет - с нагрузкой все ОК , правда пользователей почти 40 но думаю это не актуально :) Селярон куда мощнее винчипа :)

anonymous
(16.10.02 20:57:43 MSD)

Ссылка

Машина запросто потянет такой набор, но с другой стороны, когда возникает такое количество правил - это повод задуматься - а до конца ли продумана концепция фильтрации.

andrey-x ★
(17.10.02 09:12:34 MSD)

Ответ на: комментарий от andrey-x 17.10.02 09:12:34 MSD

Дело в том, что основная масса правил будет работать в качестве счетчика пакетов на опр-е адреса (куда, сколько и т д)для скрипта контроля потребленного пользователями трафика. и если этих пользователей 300-400 штук...

anonymous
(17.10.02 13:21:30 MSD)

Ответ на: комментарий от anonymous 17.10.02 13:21:30 MSD

Я тестировал влияние кол-ва правил на скорость. Тест был примитивный - через машину, которая использовалась в качестве рутера прогонялось некоторое кол-во файлов разного размера. Общий объем данных выбирался таким, чтобы его перекачка занимала пару минут. Использовались 1Gb-карты, машины PII-400 и PIII-800 память - 128Мб. Использовался ipchains c 1000 правил, правила были составлены так, что срабатывание всегда происходило по последнему правилу, чтобы вся цепочка была задействована. Точных данных не помню (тест ведь только для себя делался), но примерные результаты такие: на обеих машинах замедление при включении фильтрации было заметным, на более быстрой - менее заметным. Без 1000 правил перекачка занимала 105-106 сек. с правилами - 115-118(108-110 для PIII-800)

anonymous
(18.10.02 11:18:48 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	как обезопасица?

Admin

NAT, iptables

→

Похожие темы