服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 如何优化iptables的高DNSstream量?
Intereting Posts
垃圾邮件策略 pfSense无法访问https网站 通过虚拟机路由stream量 如何find我的服务器正在运行哪个硬件RAIDarrays? 如何将运行过程发送到后台? 如何获得可以使用我的Google Apps域凭据进行身份validation的Radius服务器? IIS停止子域的应用程序池? WSUS客户端从Microsoft Update更新 SBS 2003使用内部网站设置服务器 301redirect规则负载平衡F5 BigIp 更改Windows远程桌面服务的login超时 如何更改Juniper SRX210H的“内部IP地址” 无法加载dynamic库 $ HOME在Centos 6.3中设置 SolusVM迁移

如何优化iptables的高DNSstream量?

如何优化iptables的高DNSstream量? 我有一个专用的Linux服务器充当桥接防火墙使用iptables。 最近在防火墙后面部署了高负载的DNS服务器,并且防火墙开始工作缓慢。 一些提示,如何使防火墙更有效?

您不应该logging允许的stream量规则,以避免过多的日志(以及写日志的时间)。 dns数据包很小,但是数量很less。 您的防火墙可能无法处理每秒的数据包数量。

如果ifconfig -a报告下降/错误/超支/冲突?

您可以使用iptraf来获取每个大小分布的数据包数量:

iptraf -i eth0 -z eth0

您可以添加每个以太网卡的cpu亲和力,以提高它可以处理的pps数量

你可能正在耗尽连接表。 您可以使用NOTRACK选项,以便DNSstream量不会保留在连接表中,从而提高性能。

如果您怀疑iptables正在使用DNSstream量烧毁大量CPU,我build议您重新组织规则,以便尽快退出防火墙表。

将DNS规则放在适当表格的最上方。

由于连接数量很大,如果你不需要conntrack,你可以禁用它:

iptables -t raw -I PREROUTING -j NOTRACK