Evilzipik | linux | 30 октября 2010

Обновление iptables 1.4.10

Вышло обновление iptables 1.4.10, который имеет некоторые новшества и обновление набора утилит (userspace) для управления netfilter.

Интересное в этой версии:
Критерий cpu, позволяющий выделять пакеты по привязке к процессорному ядру, на котором они в данный момент обрабатываются. В частности, этот критерий можно использовать для максимизации использования кэша CPU, обеспечив полную обработку каждого пакета в пределах одного процессорного ядра. Привязав серверный обработчик к конкретному ядру и заданному порту, можно отправлять на этот порт все пакеты, обрабатываемые данным ядром. Так, например, будет выглядеть набор правил при наличии четырех процессорных ядер, по одному серверному процессу на каждое ядро:

iptables -t nat -A PREROUTING -p tcp —dport 80 -m cpu —cpu 0 -j REDIRECT —to-port 8080
iptables -t nat -A PREROUTING -p tcp —dport 80 -m cpu —cpu 1 -j REDIRECT —to-port 8081
iptables -t nat -A PREROUTING -p tcp —dport 80 -m cpu —cpu 2 -j REDIRECT —to-port 8082
iptables -t nat -A PREROUTING -p tcp —dport 80 -m cpu —cpu 3 -j REDIRECT —to-port 8083

Критерий ipvs, предоставляющий возможность классифицировать пакеты по параметрам IPVS (развивающегося в рамках проекта Linux Virtual Server инструмента для балансировки соединений между несколькими серверами).

И добавлена возможность удаления правил с заданным значением счетчика квоты (критерий quota), которая позволит устанавливать квоты без использования сторонних программ, но с этим нужно еще разобраться.

Прокомментировать

XHTML: Вы можете использовать эти тэги для форматирования текста: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>