форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[ Отслеживать ]

"Подскажите, чем заменить ipset"

Сообщение от Rom1 (ok) on 24-Ноя-08, 08:22

Debian Etch Есть более 5 тысяч правил, сейчас они все в iptables сидят. Хочется воспользоваться ipset, но для него необходимо накатить patch-o-matic на ядро, а сделать этого нет возможности так-как система гостевая (своя сборка ядра под XEN). Какой пакет можете посоветовать чтобы снизить нагрузку на перебор правил?

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Подскажите, чем заменить ipset"

Сообщение от s_dog (??) on 24-Ноя-08, 09:12

>Debian Etch > >Есть более 5 тысяч правил, сейчас они все в iptables сидят. >Хочется воспользоваться ipset, но для него необходимо накатить patch-o-matic на ядро, а >сделать этого нет возможности так-как система гостевая (своя сборка ядра под >XEN). > >Какой пакет можете посоветовать чтобы снизить нагрузку на перебор правил? http://www.fwbuilder.org/ ;)) А почему так много правил, файрвол стейтфул, оптимизацию проводили?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Подскажите, чем заменить ipset"
	Сообщение от Rom1 (ok) on 24-Ноя-08, 09:22
	>http://www.fwbuilder.org/ ;)) > > >А почему так много правил, файрвол стейтфул, оптимизацию проводили? Да не, не файрвол, шлюз это, с развитой маршрутизацией. Маркирует пакеты и по разным маршрутам рассылает. Сейчас напрямую переберает IP-адреса источников, вот надо оптимизировать все это.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Подскажите, чем заменить ipset"
	Сообщение от Vaso_Petrovich on 24-Ноя-08, 11:07
	маршрутизатор в xen  окружении это что то новенькое...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Подскажите, чем заменить ipset"
	Сообщение от Rom1 (ok) on 24-Ноя-08, 11:15
	>маршрутизатор в xen  окружении это что то новенькое... Виртуализация это вообще - сила. Сейчас стоит пул серверов, занимаются очень похожей задачей, но там правил поменее. Остался один, основной, но на нем нужно сделать отпимизацию правил - вот ищу как.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Подскажите, чем заменить ipset"
	Сообщение от s_dog (??) on 25-Ноя-08, 08:25
	>>маршрутизатор в xen  окружении это что то новенькое... > >Виртуализация это вообще - сила. >Сейчас стоит пул серверов, занимаются очень похожей задачей, но там правил поменее. > >Остался один, основной, но на нем нужно сделать отпимизацию правил - вот >ищу как. т.к. вы не меняете ipset, то надо по другому задать вопрос (и подробнее описать задачу).
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Подскажите, чем заменить ipset"
	Сообщение от Rom1 (ok) on 25-Ноя-08, 08:42
	>т.к. вы не меняете ipset, то надо по другому задать вопрос (и >подробнее описать задачу). Значит так: маршрутизатор переезжает на виртуальную платформу. Вместе с переездом необходимо произвести оптимизацию iptables, избавиться от 5 тысяч записей путем привлечения сторонних компонентов. Ядерного уровня - ipset, но нет возможности его использовать, т.к. нет возможности на ядро накатить path-o-matic. Отсюда и вопрос: чем заменить ipset, может кто использует подобные расширения, может не ядерного уровня.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Подскажите, чем заменить ipset"
	Сообщение от PavelR (??) on 25-Ноя-08, 13:03
	>>т.к. вы не меняете ipset, то надо по другому задать вопрос (и >>подробнее описать задачу). > >Значит так: маршрутизатор переезжает на виртуальную платформу. Вместе с переездом необходимо произвести >оптимизацию iptables, избавиться от 5 тысяч записей путем привлечения сторонних компонентов. >Ядерного уровня - ipset, но нет возможности его использовать, т.к. нет >возможности на ядро накатить path-o-matic. > >Отсюда и вопрос: чем заменить ipset, может кто использует подобные расширения, может >не ядерного уровня. а точно ли так на самом деле - неужели нельзя накатить p-o-m или использовать его в гостевом окружении ? мое понимание виртуализации не видит использованию p-o-m никаких преград. ИМХО, также, в дебиан ipset и xen доступны одновременно..
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Подскажите, чем заменить ipset"
	Сообщение от Rom1 (ok) on 25-Ноя-08, 14:58
	>а точно ли так на самом деле - неужели нельзя накатить p-o-m >или использовать его в гостевом окружении ? мое понимание виртуализации не >видит использованию p-o-m никаких преград. ИМХО, также, в дебиан ipset и >xen доступны одновременно.. На самом деле нет возможности тратить неделю на искусство сборки ядра под xen и накатывания pom. Один раз это уже делали, что-то с imq связанное, в результате оказалось что пакет после nat в imq не попадал, нюанс, а времени потратили уйму. И под xen ядро собирали - перестал работать pppoe... Короче нет времени на эксперементы.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Подскажите, чем заменить ipset"
	Сообщение от s_dog (??) on 25-Ноя-08, 16:10
	Дык, это, задача яснее не стала, то что я понял: iptables метки ставит на пакеты поэтим меткам они рутятся, я прав? а почему метки именно iptables ставит? Кстати если задачу ясно описать, то нужно новый тред открывать, тоже, сюда можно линк на новый тред кинуть.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Подскажите, чем заменить ipset"
	Сообщение от Rom1 (ok) on 25-Ноя-08, 16:19
	>Дык, это, задача яснее не стала, то что я понял: >iptables метки ставит на пакеты поэтим меткам они рутятся, я прав? > >а почему метки именно iptables ставит? > >Кстати если задачу ясно описать, то нужно новый тред открывать, тоже, сюда >можно линк на новый тред кинуть. Задача не состоит в изменении всей схемы что и как макрируется и как рутится. Задача - заменить ipset чем-то подобным. Если есть аналоги, пусть даже не ядерные - предложите.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "Подскажите, чем заменить ipset"
	Сообщение от sproot (ok) on 30-Ноя-08, 13:14
	>[оверквотинг удален] >>а почему метки именно iptables ставит? >> >>Кстати если задачу ясно описать, то нужно новый тред открывать, тоже, сюда >>можно линк на новый тред кинуть. > >Задача не состоит в изменении всей схемы что и как макрируется и >как рутится. > >Задача - заменить ipset чем-то подобным. >Если есть аналоги, пусть даже не ядерные - предложите. iplist у меня сейчас 14.644.243 ip адресов в BL при 1Gb ОЗУ. Если интересно: http://www.opennet.me/openforum/vsluhforumID1/80541.html
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "Подскажите, чем заменить ipset"
	Сообщение от Rom1 (ok) on 30-Ноя-08, 13:19
	>iplist > >у меня сейчас 14.644.243 ip адресов в BL при 1Gb ОЗУ. Если >интересно: http://www.opennet.me/openforum/vsluhforumID1/80541.html Спасибо, гляну.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "Подскажите, чем заменить ipset"
	Сообщение от Rom1 (ok) on 10-Дек-08, 11:59
	Ну, собственно, на iplist'е и остановился. Вроде все хорошо, за исключением того, что списки нельзя динамически перегружать, приходится список удалять и загружать заново, что не есть гуд. Но с помощью шаманства можно и это обойти. Информация по теме, как собирать iplist под debian - http://blog.chewearn.com/2008/11/24/chronicles-of-iplist-in-.../
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	14. "Подскажите, чем заменить ipset"
	Сообщение от sproot (ok) on 10-Дек-08, 16:25
	>Ну, собственно, на iplist'е и остановился. Вроде все хорошо, за исключением того, >что списки нельзя динамически перегружать, приходится список удалять и загружать заново, >что не есть гуд. Но с помощью шаманства можно и это >обойти. > >Информация по теме, как собирать iplist под debian - http://blog.chewearn.com/2008/11/24/chronicles-of-iplist-in-.../ Согласен, это легко обходиться. Но только, память будет юзаться в два раза больше, ведь при этом нужно будет держать первую очередь пока формируется вторая. Или ты нашел как и это можно обойти?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	15. "Подскажите, чем заменить ipset"
	Сообщение от Rom1 (ok) on 10-Дек-08, 16:41
	>Согласен, это легко обходиться. Но только, память будет юзаться в два раза >больше, ведь при этом нужно будет держать первую очередь пока формируется >вторая. Или ты нашел как и это можно обойти? Угу именно так, решение конечно через пятую точку, но другого выхода нет. Ну а может это и к лучшему - транзакционность некоторая в этом прослеживается. 1-й набор работает, загружаем второй, и если он загрузился как положено и количество ренжев в нем столько сколько надо - переключаемся на него, после этого первый удаляем. А если по другому - то удаляем первый (а в этот момент все пакеты начинают дропаться или ставиться в очередь (?) до какогото предела, а потом тоже дропаться), загружаем в него новый список, а не факт что он корректный и загрузится весь...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	16. "Подскажите, чем заменить ipset"
	Сообщение от sproot (ok) on 11-Дек-08, 02:13
	>[оверквотинг удален] >Угу именно так, решение конечно через пятую точку, но другого выхода нет. > >Ну а может это и к лучшему - транзакционность некоторая в этом >прослеживается. 1-й набор работает, загружаем второй, и если он загрузился как >положено и количество ренжев в нем столько сколько надо - переключаемся >на него, после этого первый удаляем. >А если по другому - то удаляем первый (а в этот момент >все пакеты начинают дропаться или ставиться в очередь (?) до какогото >предела, а потом тоже дропаться), загружаем в него новый список, а >не факт что он корректный и загрузится весь... Ага
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]