Tham gia Đăng nhập
Điểm:0
avatar Server

Làm cách nào để tăng tốc Firewalld hay nên bỏ nó cho nftables?

lá cờ de
TekOps

Chúng tôi gặp sự cố khi thiết lập một máy chủ chạy một dịch vụ và nó có khả năng thực hiện hàng trăm kết nối đồng thời trên cổng 3535 (được chỉ định tùy ý cho ứng dụng này). Chúng tôi có tường lửa chạy trên máy chủ gần cuối này cho phép kết nối từ máy chủ đầu xa và tất cả đều hoạt động tốt. Vấn đề mà chúng tôi gặp phải là máy chủ đầu cuối chỉ có thể thiết lập một vài kết nối tại một thời điểm và phải mất tối đa 30 giây để có được những kết nối đó. Hầu hết chúng tôi đã thấy trên máy chủ nhận gần cuối trung bình là khoảng 35 kết nối. Chúng tôi đã tắt tường lửa và ngay lập tức có tới 850 kết nối và thiết bị đầu cuối báo cáo không có sự cố cũng như độ trễ khi kết nối và chạy hoàn hảo trong 15 phút (cho đến khi chúng tôi bật lại tường lửa).

Chúng tôi có một bộ quy tắc rất đơn giản và không thực hiện bất kỳ loại điều chỉnh nào. Có chức năng điều chỉnh mặc định nào trong tường lửa mà tôi cần phải tắt hay tôi nên truy cập nftables và nếu có thì nó sẽ thực sự hoạt động tốt hơn hay tôi đang đuổi theo một con ma? ISP của tôi hiện không sử dụng VMWARE nên không có giải pháp bên ngoài nào khả dụng.

Cảm ơn trước. David

128
0 + 0
A.B avatar
lá cờ cl
A.B
Firewalld vẫn sử dụng nftables làm phụ trợ (hoặc có thể là iptables).Vì vậy, trừ khi bạn có lưu lượng thô quá lớn mà CPU không thể chịu được, bạn vẫn cần hiểu điều gì đang xảy ra, các gói bị loại bỏ như thế nào khi chúng không nên, v.v. Ngoài ra còn có phần *conntrack* để kiểm tra. Lỗi được sửa chữa, vì vậy phiên bản hạt nhân cũng quan trọng.
0
Hồi đáp
lá cờ de
TekOps
Tải CPU khi điều này xảy ra là 0,01 hoặc 0,02 và phản hồi nhanh, v.v. Ngay cả khi hệ thống đầu cuối phàn nàn về các vấn đề kết nối, chúng tôi có thể telnet tới cổng từ trang web từ xa của mình và nó sẽ phản hồi ngay lập tức. Liên quan đến iptables so với nftables... hệ thống có iptables trên đó. gói nftables chưa được cài đặt. Tôi chỉ đang cố gắng tìm hiểu xem liệu có bộ điều chỉnh mặc định hay không hoặc nếu iptables quá chậm và nftables sẽ giải quyết vấn đề. Chúng tôi không nói về sự thay đổi hiệu suất không đáng kể. Về cơ bản, nó đã tăng từ 3% lên 80% khi chúng tôi tắt tường lửa.
0
Hồi đáp
A.B avatar
lá cờ cl
A.B
Bạn cần cung cấp toàn bộ cài đặt mạng của mình (bao gồm tường lửa, iptables (ví dụ: iptables-save -c), giao diện, địa chỉ, tuyến đường, quy tắc định tuyến trong câu hỏi này để được trợ giúp. Nếu đó là điều cần giữ bí mật, tôi sẽ không chắc có thể nói được gì nhiều + Hệ điều hành, phiên bản kernel, phiên bản iptables, v.v.
0
Hồi đáp
lá cờ de
TekOps
Tôi không yêu cầu "sửa lỗi này" cụ thể. Tôi đang yêu cầu kiến ​​​​thức tổng quát. Bởi vì đây là một thiết lập cực kỳ đơn giản. Toàn bộ bộ quy tắc tường lửa của chúng tôi có khoảng 6 quy tắc (cho phép cái này, cái này và cái này, chặn mọi thứ khác). Chỉ có một tuyến đường, tuyến đường mặc định. Các câu hỏi chính là: (a) Có một số hình thức điều chỉnh mặc định trong tường lửa/iptables không và nếu có thì làm cách nào để tắt tất cả điều chỉnh và (b) nftables có nhanh hơn iptables không? Cả hai câu hỏi đó đều không yêu cầu chi tiết cụ thể.
0
Hồi đáp
A.B avatar
lá cờ cl
A.B
Ồ được thôi. Đó là lần đầu tiên tôi thấy loại vấn đề này được báo cáo xung quanh. Tôi ngạc nhiên là điều này có liên quan đến tường lửa *hiệu suất*. Tôi muốn nói rằng có một cái gì đó khác, nhưng bạn là người biết thiết lập của bạn.
0
Hồi đáp
lá cờ de
TekOps
Đó chắc chắn là tường lửa. Ngay sau khi tôi tắt nó, hiệu suất tăng vọt. Hầu hết mọi người nghĩ rằng hệ thống của họ nhanh nhưng họ thực sự không biết. Họ cũng không hiểu cách xét nghiệm hiệu quả để cách ly. Tường lửa phần mềm yêu cầu *rất nhiều* mã lực cpu bổ sung để thực hiện lọc gói. Chúng tôi * luôn * chọn tường lửa dựa trên phần cứng bên ngoài và không bao giờ gặp sự cố này. Nhưng nhà cung cấp này nhấn mạnh vào tường lửa phần mềm cục bộ cho hộp. RẤT CẢM ƠN ý kiến ​​đóng góp của mọi người.
0
Hồi đáp
A.B avatar
lá cờ cl
A.B
Điều này có tương thích với "Tải CPU khi điều này xảy ra là .01 hoặc .02 và phản hồi không"?
0
Hồi đáp
lá cờ de
TekOps
Tôi không chắc bạn đang hỏi gì. Tôi nghĩ rằng bạn đang hỏi liệu Tải CPU có gần như bằng không khi điều này xảy ra hay không và câu trả lời là có. Máy chủ cực kỳ nhạy nên đây không phải là vấn đề về tải CPU. Đó là lý do tại sao tôi nghi ngờ điều chỉnh. Và tôi đã loại trừ bên gửi và phần mềm người nhận vì sự cố biến mất, tường lửa cài đặt bị vô hiệu hóa.
0
Hồi đáp
lá cờ de
TekOps
Tôi tin rằng đây là hạn chế về hiệu suất của tường lửa. Những người khác cũng gặp sự cố và sự cố vẫn chưa được giải quyết: https://forums.centos.org/viewtopic.php?t=58673
0
Hồi đáp
Điểm:1
avatar Server
lá cờ ec
erig

người duy trì tường lửa ở đây.

Firewalld hiện không hỗ trợ tăng tốc (đường dẫn nhanh phần mềm hoặc giảm tải phần cứng). Tuy nhiên, tôi nghĩ rằng cả hai có thể được thêm vào bằng cách sử dụng nftables dòng chảy cơ sở hạ tầng. Tuy nhiên, chỉ có một số NIC hỗ trợ giảm tải lưu lượng.

Điều đó đang được nói, những gì bạn đang mô tả âm thanh sai. Đó là hiệu suất khủng khiếp. Firewalld không thực sự làm tường lửa. Nó xây dựng các bộ quy tắc iptables/nftables và áp dụng chúng. Việc thực thi quy tắc iptables/nftables diễn ra trong kernel/netfilter.

Bạn có thể xem xét việc tắt một số tính năng tường lửa tùy chọn. IPv6_rpfilter được biết là có vấn đề về hiệu suất trong môi trường được mở rộng vì nó yêu cầu tra cứu FIB. Ngoài ra, hãy xem xét những thứ khác có thể gây ra cập nhật quy tắc thường xuyên hoặc thêm một số lượng lớn quy tắc, ví dụ: fail2ban.

0 + 0
lá cờ de
TekOps
Cảm ơn bạn rất nhiều vì thông tin và điều đó có ý nghĩa. Cuối cùng chúng tôi đã quay trở lại giải pháp tường lửa bên ngoài.
0
Hồi đáp
Điểm:0
avatar Server
lá cờ de
TekOps

Sau nhiều nghiên cứu, có vẻ như nftables không phải là "vị cứu tinh" ở đây. Nó không hoạt động tốt hơn trong tình huống này so với iptables và do đó không hữu ích.

Vấn đề hiệu suất tổng thể dường như là một hạn chế của tường lửa phần mềm tường lửa và phải được giải quyết bằng tường lửa bên ngoài, v.v. Những vấn đề khác cũng gặp vấn đề tương tự và vấn đề vẫn chưa được giải quyết: https://forums.centos.org/viewtopic.php?t=58673

0 + 0
Điểm:0
setenforce 1 avatar Server
lá cờ us
setenforce 1

Bạn có thể thử sao chép các quy tắc iptables/nftables do tường lửa tạo ra, tắt tường lửa rồi dán lại các quy tắc iptables/nftables để bạn có thể xác nhận hoặc xác nhận tường lửa có một số tham số giới hạn khác.

Nếu nó vẫn bị giới hạn, thì đó là quy tắc được tạo và bạn có thể thử tối ưu hóa quy tắc hoặc xây dựng từ đầu với iptables/nftables.

Nếu không, thì đó có thể là giới hạn tường lửa hoặc nhiều khả năng là lỗi tường lửa.

0 + 0
lá cờ de
TekOps
đó là một hạn chế. các tường lửa phần mềm này chậm hơn MASSIVELY so với tường lửa phần cứng. Tôi biết chúng đang được triển khai khắp nơi, nhưng tôi nghĩ hầu hết người dùng không nhận ra chúng chậm như thế nào. Vì vậy, chúng tôi đã quay trở lại phần cứng.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.