লিনাক্স iptables / কনট্র্যাক পারফরম্যান্স সমস্যা

9

আমার 4 টি মেশিন সহ ল্যাবটিতে একটি পরীক্ষা-সেটআপ রয়েছে:

  • 2 টি পুরাতন পি 4 মেশিন (টি 1, টি 2)
  • 1 জিওন 5420 ডিপি 2.5 গিগাহার্টজ 8 জিবি র‌্যাম (টি 3) ইন্টেল ই 1000
  • 1 জিওন 5420 ডিপি 2.5 গিগাহার্টজ 8 জিবি র‌্যাম (টি 4) ইন্টেল ই 1000

লিনাক্স ফায়ারওয়াল পারফরম্যান্স পরীক্ষা করার জন্য যেহেতু আমরা গত মাসে বেশ কয়েকটি সিন-বন্যা আক্রমণে দংশিত হয়েছি। সমস্ত মেশিন উবুন্টু 12.04 64 বিট চালায়। টি 1, টি 2, টি 3 1 জিবি / এস স্যুইচের মাধ্যমে আন্তঃসংযুক্ত রয়েছে, টি 4 একটি অতিরিক্ত ইন্টারফেসের মাধ্যমে টি 3 এর সাথে সংযুক্ত রয়েছে। সুতরাং টি 3 ফায়ারওয়ালকে সিমুলেট করে, টি 4 লক্ষ্য, টি 1, টি 2 আক্রমণকারীদের খেলুন যা একটি প্যাকেটস্টর্ম থারুগ তৈরি করে (192.168.4.199 টি 4):

hping3 -I eth1 --rand-source --syn --flood 192.168.4.199 -p 80

টি 4 গেটওয়ে, টি 4 এর পারফরম্যান্স সম্পর্কিত সমস্যাগুলির সাথে বিভ্রান্তি এড়াতে সমস্ত আগত প্যাকেটগুলি ড্রপ করে iptraf এ প্যাকেটের পরিসংখ্যান আমি দেখি watch আমি ফায়ারওয়াল (টি 3) নিম্নরূপে কনফিগার করেছি:

  • স্টক 3.2.0-31-জেনেরিক # 50-উবুন্টু এসএমপি কার্নেল
  • rhash_entries = 33554432 কার্নেল প্যারামিটার হিসাবে

  • Sysctl নিম্নলিখিত হিসাবে:

    net.ipv4.ip_forward = 1
net.ipv4.route.gc_elasticity = 2
net.ipv4.route.gc_timeout = 1
net.ipv4.route.gc_interval = 5
net.ipv4.route.gc_min_interval_ms = 500
net.ipv4.route.gc_thresh = 2000000
net.ipv4.route.max_size = 20000000

(টি 1 + টি 2 যতটা সম্ভব প্যাকেট প্রেরণ করছে তখন আমি টি 3 চালিয়ে যেতে প্রচুর টুইট করেছি)

এই প্রচেষ্টার ফলাফল কিছুটা বিজোড়:

  • t1 + t2 প্রতিটি প্রায় 200k প্যাকেট / গুলি প্রেরণ পরিচালনা করে। সেরা ক্ষেত্রে টি 4 মোটামুটি 200k জাগিয়ে তোলে তাই প্যাকেটের অর্ধেকটি হারিয়ে গেছে।
  • প্যাকেটগুলি এর মধ্য দিয়ে প্রবাহিত হয়ে থাকলেও টি -3 কনসোলে প্রায় অযোগ্য able
  • রুট ক্যাশে আবর্জনা সংগ্রহকারী অনুমানযোগ্য হওয়ার খুব কাছাকাছি কোনও উপায় নয় এবং খুব কম প্যাকেট / গুলি (<50 কে প্যাকেট / গুলি) দ্বারা বিভক্ত ডিফল্ট সেটিংসে
  • রাষ্ট্রীয় iptables নিয়ম সক্রিয়করণ প্যাকেটের হার টি -4 ড্রপকে প্রায় 100 কে প্যাকেট / গুলি করে তোলে, কার্যকরভাবে প্যাকেটের 75% এরও বেশি হারাতে পারে

এবং এটি - এখানে আমার প্রধান উদ্বেগ - দুটি পুরানো পি 4 মেশিন যতটা প্যাকেট পাঠাতে পারে - যার অর্থ নেট এর প্রায় প্রত্যেককেই এটি সক্ষম হতে হবে।

সুতরাং এখানে আমার প্রশ্নটি চলেছে: আমি কি কনফিগারেশনে বা আমার পরীক্ষার সেটআপে কিছু আমদানি পয়েন্ট উপেক্ষা করেছি? বিশেষত এসএমপি সিস্টেমে ফায়ারওয়াল সিস্টেম তৈরির কোনও বিকল্প আছে কি?

linux  firewall 
টিম
সূত্র
আপনি কি কেবল নেটওয়ার্কটি স্যাটারুয়েট করছেন তা কি সম্ভব? এটি প্যাকেটের ক্ষতির কিছু ব্যাখ্যা করবে।
প্রেস্টন
আমি মনে করি না যেহেতু নেটওয়ার্ক 1 জিবি / সেগুলিতে প্রতিটি এইচপি 2848 স্যুইচ দিয়ে সংযুক্ত রয়েছে, প্রবাহ নিয়ন্ত্রণ চালু রয়েছে এবং টি 3-তে উচ্চ লোড এবং রুটের ক্যাশে ওভারফ্লো ইঙ্গিত দেয় যে টি 3 নিজেই দুর্বল স্থান।
টিম

উত্তর:

1

আমি কার্নেল> = 3.6 এ স্থানান্তরিত করব যার আর কোনও রাউটিং ক্যাশে নেই। এটি আপনার সমস্যার একটি অংশ সমাধান করা উচিত।

BatchyX
সূত্র
0

T3 এ আপনার লগিং সেটআপটি কেমন? যদি সমস্ত ড্রপ প্যাকেট লগ হয় তবে ডিস্ক আই / ও সম্ভবত কারণ হতে পারে।

যেহেতু এটি একটি পরীক্ষার পরিবেশ, আপনি টি 3 লগিং বন্ধ করে দিয়ে পরীক্ষাটি দেখতে পারেন।

জন সিউ
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.