forum.opennet.ru - "IPTABLES 24% CPU в TOPе периодически...?" (1)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"IPTABLES 24% CPU в TOPе периодически...?"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"IPTABLES 24% CPU в TOPе периодически...?"
Сообщение от Lucf3r (ok) on 30-Июл-05, 11:55 (MSK)
У меня стоит расчтеная система с 5-ти секндным обсчетом траффика, процесс обсчета примерно такой: Снятие статистики с netflow, снятие денег со счета, сравнение нового баланса с нулевым и в случае отрицательного FORWARD -j DROP для юзера, в случае же появления положительного баланса это правило исчезает и заменяется на NAT юзера. Не давно возникла проблема, связать ее я могу только лишь с переходом на новое яро(с 2.4.25 на 2.4.31), в следствии чего каждой правило в цепочку nat добавляется по 2 секунды(явно смотрю ps -x, вижу как правило висит в процессах секунды 2...) Правило: iptables -t nat -A POSTROUTING -s 192.168.53.101 -d 0.0.0.0/0 -j SNAT --to-source EXT_INTF EXT_INTF не переменная, на ее месте стоит IP... В чем может быть причина? Может какой package в ядре тормозит такое правило, ведь руками вбиваю что-нибудь типа iptables -A INPUT -s 192.168.53.102 -j ACCEPT проходит в миг, значит загвостка в НАТе. Всего за один цикл проходит порядка 7-10 таких правил, не больше...
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

IPTABLES 24% CPU в TOPе периодически...?, uldus, 21:41 , 31-Июл-05, (1)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "IPTABLES 24% CPU в TOPе периодически...?"

Сообщение от uldus (ok) on 31-Июл-05, 21:41 (MSK)

>-j ACCEPT проходит в миг, значит загвостка в НАТе. Всего за
>один цикл проходит порядка 7-10 таких правил, не больше...
Сколько всего правил, если тысячи, то лучше включить для всей клиентской подсети NAT, закрыть его всем и использовать таблицы для открытия проплатившим клиентам. Иначе он у тебя на каждый пакет все правила линейно перебирает.
Еще посмотри статистику /proc/net/ip_conntrack, может у какого-то клиента слишком много коннектов и iptable_nat тратит много времени на обновление буферов при добавлении нового правила.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "IPTABLES 24% CPU в TOPе периодически...?"
Сообщение от uldus (ok) on 31-Июл-05, 21:41 (MSK)
>-j ACCEPT проходит в миг, значит загвостка в НАТе. Всего за >один цикл проходит порядка 7-10 таких правил, не больше... Сколько всего правил, если тысячи, то лучше включить для всей клиентской подсети NAT, закрыть его всем и использовать таблицы для открытия проплатившим клиентам. Иначе он у тебя на каждый пакет все правила линейно перебирает. Еще посмотри статистику /proc/net/ip_conntrack, может у какого-то клиента слишком много коннектов и iptable_nat тратит много времени на обновление буферов при добавлении нового правила.
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ]