iptables + pfring

0

1

Здравствуйте. Всех с праздником, а теперь к теме. Почитал ревьюшки по интерфейсу захвата пакетов pf_ring. По сравнению со стандартным pcap pf_ring дает нулевую потерю пакетов (тесты были сделаны в netstat, если не ошибаюсь). Мой же сервер представляет собой фаервол с 5-уровневой, но очень эффективной фильтрацией пакетов, количество которых во время атаки достигает около полумиллиона в секунду. У меня есть карта Intel Corporation 82540EM Gigabit Ethernet Controller (rev 03) (модуль e1000), которая дружит с pf_ring. Возможно ли, чтобы iptables делал захват именно при помощи pfring, а не стандартных средств ядра, чтобы таким образом повысить производительность фаервола? Или conntrack сам по себе является костылем и с моими запросами мне следует ставить сурикату и использовать ее как IPS? Спасибо.

Ссылка

←	Кто виноват? Баг ВКоталке или флеша?

PPTP VPN произвольно отключается.

→

Может я ещё не проснулся, но ведь iptables не занимаестся захватом пакетов. pcap и pf_ring предназначены для передачи пакета в userspace. iptables работает целиком в пространстве ядра, модулям iptables пакет передаётся в виде указателя на skbuf (буфер пакета).

mky ★★★★★
(01.01.14 15:15:55 MSK)

Ответ на: комментарий от mky 01.01.14 15:15:55 MSK

Я знаю, я хотел бы поинтересоваться о степени юзабельности решения - suricata + pf_ring заместо iptables.

Wheely
(01.01.14 19:35:02 MSK) автор топика

Ответ на: комментарий от Wheely 01.01.14 19:35:02 MSK

Как вариант - подгрузка модуля netmap заместо обычного в ядре и обработка пакетов фаерволом уже с netmap (солюха для BSD - http://lists.freebsd.org/pipermail/freebsd-net/2012-August/032972.html), сейчас ищу аналогичное для iptables. Hardware packet filtering не поддерживает моя сетевая карта, но на данный момент я прикрутил к ней кастомный драйвер с поддержкой pf_ring.

Wheely
(01.01.14 19:42:43 MSK) автор топика

Ссылка

Ответ на: комментарий от Wheely 01.01.14 19:35:02 MSK

Тогда, ИМХО, лучше создайте отдельную тему и так и сформулируйте этот вопрос, потому что такой формулировкой:

Возможно ли, чтобы iptables делал захват именно при помощи pfring, а не стандартных средств ядра,

вы только распугиваете спецов. А дальше первого поста на ЛОРе темы читать не принято.

Лично я suricata-ids не использовал, сказать мне нечего.

mky ★★★★★
(01.01.14 21:56:11 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Кто виноват? Баг ВКоталке или флеша?

General

PPTP VPN произвольно отключается.

→

Похожие темы