Re: 1000base-T - Welche PCI-Karten?

From: Alexander Langer <alex(at)big.endian.de>
Date: Sat, 18 Jan 2003 20:19:35 +0100

Also sprach Bernd Walter (ticso(at)cicely8.cicely.de):

> Meinst du nicht, das es für ein Accounting in der Größenordnung bessere
> Methoden gibt, als ipfw?

Klar, selbst "trafshow" aus den Ports ist in geeigneter Konfiguration
fast schon geeignet für diesen Zweck :-)
Ich hatte auch mal angedacht, mittels divert(4) das ganze auf ein
Userland-Programm zu schaufeln, dass schnell und einfach nur den Traffic
zählt. Accounting an sich ist nicht das Problem:

> Wie du schon selber schreibst macht die Anzahl der durchlaufenen Regeln
> einen wesentlichen Unterschied, dabei kannst du einfach mit einer Regel
> und einem Counterarray bereits alles erledigen.

Wir verwenden die Regeln nicht nur zum Accounting, sondern auch, um
gezielt IPs zu sperren oder gezielt Zugriffe in bestimmte Subnetze zu
erlauben, in andere (any) aber nicht. Die IPs sind leicher auch aus
bestimmten, nicht so einfach änderbaren Gründen auch nicht in Reihe
vergeben, man kann also nicht so einfach Teilbereiche in einer Regel
zusammenfassen. Accouting ist dabei mehr oder weniger ein brauchbares
"Abfallprodukt" der allow-Regeln.

> Das pipe Feature kann auch pro IP accounten, aber leider expiren die
> Counter nach einiger Zeit - evtl reicht es bereits das abzuschalten.

pipes hatten sie hier mal (vor mir) eine Zeitlang im Testbetrieb. Gab
nach Auskünften dämliche Probleme mit Timeouts und Queues, die aus der
Liste verschwanden (wenn's zu viele gab). So genau hab ich da nicht
nachgefragt.

Allerdings müsste es dann trotzdem zu jeder IP entweder eine deny und zwei
pipes (accounting nach Subnetzen) oder entsprechende allow Regeln geben.

Mal davon abgesehen (man könnte ja auch eine Firewall zum Filtern, und
eine andere zum Accounting nehmen), hatte ich zum Accounting mal pipes
angedacht, dann aber überlegt, dass wir, die die Netztopologie kennen,
mittels skipto die Suchfolge wahrscheinlich besser so optimieren können,
als wenn der Kernel bei jedem Packet zwar schnell die Pipe findet, dann
die Queues zu 500+ IPs (mit jeweils mind. 2 pipes) erst finden muss, um
den Traffic-Counter zu erhöhen.

Ciao

Alex

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Sat 18 Jan 2003 - 20:19:43 CET

search this site