On Friday 20 April 2012 22:16:47 Adrian Popa wrote: > Cred că cel mai elegant e cu iptables -j LOG. Oricum, partea de packet > matching se face în kernel. Ai grijă, ca să crești performanța ca > regulile de LOG să fie după regulile care vor match-ui majoritatea > pachetelor (de ex RELATED, etc). > De asemenea, e bine să ai un logrotate pe fișierele scrise, să nu ai > probleme în câțiva ani...
RELATED?! Omul voia sa nu creasca load-ul pe server. Daca il mai pui sa tina si conntrack... e clar! Cea mai buna solutie, IMHO este iptables, cu --syn -m multiport --dports 22,23 si LOG. Daca nu ai multe reguli iptables, este excelenta. Daca ai pus RELATED sau nat sau orice altceva care activeaza connection tracking, acolo o sa-si petreaca mare parte din viata CPU-ul, la nivel de retea. Ar mai fi o solutie si in cazul asta sa ai un hashtable f. mare, pui un hashsize un nr. prim cu 6-7 cifre... daca tot trebuie connection tracking, insa nu imi dau seama daca e performance killer, totusi. -- Claudiu Nicolaie CISMARU GNU GPG Key: http://www.virtuamagic.com/ccn-key.gpg T: +40 755 135455 E: clau...@virtuamagic.com, claudiu.cism...@gmail.com
signature.asc
Description: This is a digitally signed message part.
_______________________________________________ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
