înregistrare Logare
Puncte:0
avatar Server

Cum se accelerează Firewalld sau ar trebui să fie abandonat pentru nftables?

drapel de
TekOps

Avem o problemă în care am configurat un server care rulează un serviciu și este capabil de sute de conexiuni simultane pe portul 3535 (alocat în mod arbitrar pentru această aplicație). Avem firewalld care rulează pe această gazdă apropiată, permițând conexiuni de la gazda de la distanță și totul funcționează bine. Problema cu care am întâlnit este că gazda de la distanță poate stabili doar câteva conexiuni la un moment dat și durează mai mult de 30 de secunde pentru a obține acele conexiuni. Cele mai multe pe care le-am văzut pe gazda de recepție aproape este de aproximativ 35 de conexiuni în medie. Am dezactivat firewalld-ul și a trecut imediat la 850 de conexiuni, iar terminalul îndepărtat a raportat nicio problemă și nicio întârziere la conectare și a funcționat impecabil timp de 15 minute (până când am reactivat firewalld-ul).

Avem un set de reguli foarte simplu și nu facem nici un fel de throttling. Există o limitare implicită în firewalld pe care trebuie să o dezactivez sau ar trebui să merg la nftables și, dacă da, va funcționa mai bine sau urmăresc o fantomă? ISP-ul meu nu folosește VMWARE și, prin urmare, nu este disponibilă nicio soluție externă.

Mulțumesc anticipat. David

128
0 + 0
A.B avatar
drapel cl
A.B
Firewalld încă folosește nftables ca backend (sau poate fi iptables).Deci, cu excepția cazului în care aveți un trafic brut prea intens pe care CPU-ul nu îl poate suporta, trebuie totuși să înțelegeți ce se întâmplă, cum sunt aruncate pachetele când nu ar trebui etc. Există și partea *conntrack* de verificat. Bug-urile sunt corectate, așa că și versiunea de kernel contează.
0
Răspunde
drapel de
TekOps
Încărcarea procesorului atunci când se întâmplă acest lucru este .01 sau .02 și răspunde, etc. Chiar și atunci când sistemul de la distanță se plânge de probleme de conexiune, putem face telnet la portul de pe site-ul nostru la distanță și acesta răspunde imediat. În ceea ce privește iptables vs nftables... sistemul are iptables pe el. Pachetul nftables nu este instalat încă. Încerc doar să îmi dau seama dacă există o accelerație implicită sau dacă iptables este prea lent și nftables va rezolva problema. Nu vorbim de o variație nesemnificativă a performanței. Practic a trecut de la 3% la 80% când am oprit firewall-ul.
0
Răspunde
A.B avatar
drapel cl
A.B
Ar trebui să furnizați setările întregii rețele (inclusiv firewalld, iptables (de exemplu: iptables-save -c), interfețe, adrese, rute, reguli de rutare în această întrebare pentru a obține ajutor. Dacă este ceva de păstrat secret, sunt nu sunt sigur că se pot spune multe. + OS, versiunea kernel versiunea iptables etc.
0
Răspunde
drapel de
TekOps
Nu cer un anume „remediez asta”. Cer cunoștințe generale. Pentru că aceasta este o configurație extrem de simplă. Întregul nostru set de reguli firewalld este de aproximativ 6 reguli (permiteți asta, asta și asta, blocați orice altceva). Există o singură rută, ruta implicită. Întrebările principale sunt: ​​(a) Există o formă de limitare implicită în firewalld/iptables și, dacă da, cum dezactivez toate throttlingurile și (b) este nftables mai rapid decât iptables? Niciuna dintre aceste întrebări nu necesită detalii specifice.
0
Răspunde
A.B avatar
drapel cl
A.B
Oh bine. Este prima dată când văd acest tip de problemă raportată. Sunt surprins că acest lucru este legat de firewall *performanțe*. Aș spune că mai este ceva, dar tu ești persoana care îți cunoaște configurația.
0
Răspunde
drapel de
TekOps
Cu siguranță este un firewall. De îndată ce îl opresc, performanța crește vertiginos. Majoritatea oamenilor cred că sistemele lor sunt rapide, dar chiar habar nu au. De asemenea, ei nu înțeleg cum să testeze eficient pentru a izola. Firewall-urile software necesită o mulțime de cai putere suplimentară a procesorului pentru a face filtrarea pachetelor. *Întotdeauna* optăm pentru firewall-uri externe bazate pe hardware și nu avem niciodată această problemă. Dar acest furnizor insistă asupra paravanelor de protecție software locale pe cutie. Apreciez FOARTE MULT contribuția tuturor.
0
Răspunde
A.B avatar
drapel cl
A.B
Este aceasta compatibilă cu „Încărcarea procesorului atunci când se întâmplă acest lucru este .01 sau .02 și receptivă”?
0
Răspunde
drapel de
TekOps
Nu sunt sigur ce întrebi. Cred că întrebați dacă sarcina procesorului este practic zero atunci când se întâmplă acest lucru și răspunsul este da. Serverul este extrem de receptiv, deci nu este o problemă de încărcare a procesorului. De aceea am bănuit că stropit. Și am exclus partea de trimitere și software-ul destinatar, deoarece problema dispare, instalarea firewalld este dezactivată.
0
Răspunde
drapel de
TekOps
Cred că aceasta este o limitare de performanță a firewalld. Alții au avut și ea problema și aceasta a rămas nerezolvată: https://forums.centos.org/viewtopic.php?t=58673
0
Răspunde
Puncte:1
avatar Server
drapel ec
erig

menținătorul firewalld aici.

Firewalld nu acceptă în prezent accelerarea (calea rapidă software sau descărcarea hardware). Cu toate acestea, cred că ambele ar putea fi adăugate folosind nftables debitabil infrastructură. Totuși, doar câteva NIC-uri acceptă descărcarea flowtable.

Acestea fiind spuse, ceea ce descrii sună greșit. Asta e performanță abisală. Firewalld nu face firewall-ul de fapt. Construiește seturi de reguli iptables/nftables și le aplică. Execuția regulii iptables/nftables are loc în kernel/netfilter.

Puteți lua în considerare dezactivarea unor caracteristici opționale firewalld. IPv6_rpfilter este cunoscut că are probleme de performanță în medii scalate, deoarece necesită o căutare FIB. Luați în considerare și alte lucruri care pot provoca actualizări frecvente ale regulilor sau pot adăuga o cantitate mare de reguli, de ex. fail2ban.

0 + 0
drapel de
TekOps
Mulțumesc mult pentru informații și asta are sens. În cele din urmă, ne-am întors la o soluție de firewall externă.
0
Răspunde
Puncte:0
setenforce 1 avatar Server
drapel us
setenforce 1

Puteți încerca să copiați regulile iptables / nftables generate de firewalld, să dezactivați firewalld și apoi să lipiți din nou regulile iptables / nftables, astfel încât să puteți confirma sau confirma că firewalld are alți parametri limitatori.

Dacă încă este limitat, sunt regulile generate și ați putea încerca să optimizați regulile sau să le construiți de la zero cu iptables / nftables.

Dacă nu este, atunci ar putea fi o limitare a firewall-ului sau, mai probabil, o eroare a firewall-ului.

0 + 0
drapel de
TekOps
este o limitare. aceste firewall-uri software sunt MASIV mai lente decât firewall-urile hardware. Știu că sunt implementate peste tot, dar cred că majoritatea utilizatorilor nu își dau seama cât de lenți sunt. Așa că ne-am întors la hardware.
0
Răspunde
Puncte:0
avatar Server
drapel de
TekOps

După multe cercetări, se pare că nftables nu este un „salvator” aici. Nu funcționează mai bine în această situație decât iptables și, prin urmare, nu este de ajutor.

Problema generală de performanță pare să fie o limitare a paravanului de protecție software și trebuie rezolvată de un firewall extern etc. Alții au avut aceeași problemă și aceasta a rămas nerezolvată: https://forums.centos.org/viewtopic.php?t=58673

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.