/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord? 		Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
[Linux] RAMforbrug ved masquerading?
Fra : Steen Suder

Dato : 25-06-02 22:53
Hvad er jeres erfaring mht. RAMforbrug på en Linux 2.4.x, der skal køre
masquerading for ca. 100 brugere imod en 4Mb/s forbindelse?

Jeg regner med 128MB RAM; kan det med sikkerhed siges at være for lidt?

Jeg kan ikke finde nogle angivelser vha. Google.

--
Steen

 
 
Rasmus Bøg Hansen (25-06-2002)
Kommentar
Fra : Rasmus Bøg Hansen

Dato : 25-06-02 23:58
Steen Suder wrote:

> Hvad er jeres erfaring mht. RAMforbrug på en Linux 2.4.x, der skal køre
> masquerading for ca. 100 brugere imod en 4Mb/s forbindelse?

Jeg har kørt 100 brugere bag en 2mbit-linje på en 486 med 20Mb RAM. Den er
opgraderet nu, men det skyldtes nu lige så meget skift til PCI og en
hurtigere CPU

> Jeg regner med 128MB RAM; kan det med sikkerhed siges at være for lidt?

Nej, det er rigeligt. Hvis vi regner 4Mb fra til kernen og 10Mb til kørende
programmel er der 114Mb tilbage. Når du kører NAT skal du køre med
connection tracking. Hver etableret forbindelse bruger ca. 300 byte til
connection tracking.

Forudsætter vi nu, at hver bruger har 1000 samtidige etablerede forbindelser
(*meget* højt sat; men worst-case er nu altid rart at tage højde for), får
du 100*1000*300=30000000=28Mb. Så er der 86Mb hukommelse til buffere og
cache.

Jeg kører en firewall med 128Mb RAM (K6-2/350MHz). Den kører iptables+NAT
samt WRR traffic shaping:

root@wiibroe:/home/moffe# cat /proc/net/ip_conntrack |wc
501 7002 79709
root@wiibroe:/home/moffe# iptables -L -t nat -n | wc
78 449 5582
root@wiibroe:/home/moffe# iptables -L -t filter -n | wc
1026 13375 111960
moffe@wiibroe# procinfo
Linux 2.4.18 (moffe@carlsberg) (gcc 2.96 20000731 ) #5 tir mar 5 09:59:51
CET 2002 1CPU [wiibroe.amagerkollegiet.dk]

Memory: Total Used Free Shared Buffers
Cached
Mem: 127284 113628 13656 0 18920
50476
Swap: 166612 3364 163248

Bootup: Thu May 2 09:17:36 2002 Load average: 0.08 0.10 0.08 2/43 19112

user : 1d 8:54:29.06 2.5% page in : 180165 disk 1: 25621r
8444656w
nice : 0:00:00.00 0.0% page out: 40300677
system: 2d 14:33:35.25 4.8% swap in : 138
idle : 50d 16:05:48.12 92.7% swap out: 835
uptime: 54d 15:33:52.42 context :2929303566

Dvs. free+cache+buffers = ~81Mb og 92.7% idle. Omkring 1100 regler og 500
samtidige etablerede forbindelser (jeg ser meget sjældent over 2000).

Når du har så meget RAM, kan jeg anbefale nedenstående:

echo 65535 > /proc/sys/net/ipv4/ip_conntrack_max

Så skulle du være nogenlunde sikker. Husk at hver forbindelse bruger 300
byte, så sørg for ikke sætte ip_conntrack_max til så meget, at du kan komme
til at bruge mere end den fysiske hukommelse (det allokeres nemlig
dynamisk) - dvs. ikke over en kvart million forbindelser

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
If a trainstation is the place where trains stop, what is a workstation?
----------------------------------[ moffe at amagerkollegiet dot dk ] --

Christian E. Lysel (02-07-2002)
Kommentar
Fra : Christian E. Lysel

Dato : 02-07-02 22:37
Rasmus Bøg Hansen wrote:
> root@wiibroe:/home/moffe# iptables -L -t nat -n | wc
> 78 449 5582
> root@wiibroe:/home/moffe# iptables -L -t filter -n | wc
> 1026 13375 111960

Suk, hvad bruger i så mange regler til, er i sikre på der ikke er en
fejl eller to :)

> uptime: 54d 15:33:52.42 context :2929303566

Det får jeg til den context switcher 627 gange i sek. i gennemsnit over
54 dage, laver denne maskine andet en masq?


Rasmus Bøg Hansen (03-07-2002)
Kommentar
Fra : Rasmus Bøg Hansen

Dato : 03-07-02 08:30
Christian E. Lysel wrote:

> Rasmus Bøg Hansen wrote:
>> root@wiibroe:/home/moffe# iptables -L -t nat -n | wc
>> 78 449 5582
>> root@wiibroe:/home/moffe# iptables -L -t filter -n | wc
>> 1026 13375 111960
>
> Suk, hvad bruger i så mange regler til, er i sikre på der ikke er en
> fejl eller to :)

Jeg forsøgte at åbne udvalgte udgående porte, men det gik ikke - det er et
kollegie, hvor folk bruger temmelig mange forskellige porte til skumle
protokoller. I stedet har jeg lukket nogle hundrede udgående porte - og de
logges tillige alle sammen; det tæller for de fleste regler.

>> uptime: 54d 15:33:52.42 context :2929303566
>
> Det får jeg til den context switcher 627 gange i sek. i gennemsnit over
> 54 dage, laver denne maskine andet en masq?

Den laver desuden shaping (eller hvad man nu vil kalde det) med wrr. Den
laver nogle statistikker med wipl hvert 5. sekund - de kan tilgås via
apache. Statistikkerne er en liste over den båndbredde, som hver enkelt IP
bruger netop nu , over de sidste 10s hhv. det sidste minut.

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Computers are like airconditioners:
They stop working properly if you open windows.
----------------------------------[ moffe at amagerkollegiet dot dk ] --

Christian E. Lysel (03-07-2002)
Kommentar
Fra : Christian E. Lysel

Dato : 03-07-02 12:27
Rasmus Bøg Hansen wrote:
>>Suk, hvad bruger i så mange regler til, er i sikre på der ikke er en
>>fejl eller to :)
> Jeg forsøgte at åbne udvalgte udgående porte, men det gik ikke - det er et
> kollegie, hvor folk bruger temmelig mange forskellige porte til skumle
> protokoller. I stedet har jeg lukket nogle hundrede udgående porte - og de
> logges tillige alle sammen; det tæller for de fleste regler.

Hvorfor ikke blot åbne alle porte, som du selv siger det er et kollegie?

>>>uptime: 54d 15:33:52.42 context :2929303566
>>Det får jeg til den context switcher 627 gange i sek. i gennemsnit over
>>54 dage, laver denne maskine andet en masq?

Af, ...Bootup: Thu May 2 09:17:36 2002 Load average: 0.08 0.10 0.08
2/43 19112... kan man se i kører med 43 processor, men context switch på
627 virker voldsomt.

> Den laver desuden shaping (eller hvad man nu vil kalde det) med wrr. Den
> laver nogle statistikker med wipl hvert 5. sekund - de kan tilgås via
> apache. Statistikkerne er en liste over den båndbredde, som hver enkelt IP
> bruger netop nu , over de sidste 10s hhv. det sidste minut.

Hvad er statistikken skrevet i? Det kan måske forklarer det.


Rasmus Bøg Hansen (03-07-2002)
Kommentar
Fra : Rasmus Bøg Hansen

Dato : 03-07-02 13:33
Christian E. Lysel wrote:

> Rasmus Bøg Hansen wrote:
>>>Suk, hvad bruger i så mange regler til, er i sikre på der ikke er en
>>>fejl eller to :)
>> Jeg forsøgte at åbne udvalgte udgående porte, men det gik ikke - det er
>> et kollegie, hvor folk bruger temmelig mange forskellige porte til skumle
>> protokoller. I stedet har jeg lukket nogle hundrede udgående porte - og
>> de logges tillige alle sammen; det tæller for de fleste regler.
>
> Hvorfor ikke blot åbne alle porte, som du selv siger det er et kollegie?

Der er lukket for netbios, portmap, printer (515) samt en hel bunke
trojanske heste.

>>>>uptime: 54d 15:33:52.42 context :2929303566
>>>Det får jeg til den context switcher 627 gange i sek. i gennemsnit over
>>>54 dage, laver denne maskine andet en masq?
>
> Af, ...Bootup: Thu May 2 09:17:36 2002 Load average: 0.08 0.10 0.08
> 2/43 19112... kan man se i kører med 43 processor, men context switch på
> 627 virker voldsomt.

Fra 'ps axu' får jeg følgende processer af betydning:

root 9534 1.5 0.4 2436 524 ? S May02 1378:11
/usr/local/sbin/wipld -c /etc/wrr/wipl/wipld-lan.c
root 9536 0.3 0.5 2300 704 pts/0 S May02 306:58
/usr/local/bin/wiplc --daemon /etc/wrr/wipl/wipld-l
root 9537 0.3 0.5 2300 704 pts/0 S May02 306:37
/usr/local/bin/wiplc --daemon /etc/wrr/wipl/wipld-l
root 9542 0.0 0.3 2036 500 pts/0 S May02 37:27 /bin/bash
loop/wrr-loop.sh

>> Den laver desuden shaping (eller hvad man nu vil kalde det) med wrr. Den
>> laver nogle statistikker med wipl hvert 5. sekund - de kan tilgås via
>> apache. Statistikkerne er en liste over den båndbredde, som hver enkelt
>> IP bruger netop nu , over de sidste 10s hhv. det sidste minut.
>
> Hvad er statistikken skrevet i? Det kan måske forklarer det.

Den laver statistikkerne hvert 5. sekund og skriver dem i html. Husker jeg
ret bruger den 'tc' til at aflæse de 1024 qdiscs.

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
I am free of prejudices. I hate everyone equally.
----------------------------------[ moffe at amagerkollegiet dot dk ] --

ht (02-07-2002)
Kommentar
Fra : ht

Dato : 02-07-02 22:18
Steen Suder wrote:

> Hvad er jeres erfaring mht. RAMforbrug på en Linux 2.4.x, der skal køre
> masquerading for ca. 100 brugere imod en 4Mb/s forbindelse?
>
> Jeg regner med 128MB RAM; kan det med sikkerhed siges at være for lidt?
>
> Jeg kan ikke finde nogle angivelser vha. Google.
>

Hvis du KDE skal brug meget > 128mB

HT

Christian E. Lysel (02-07-2002)
Kommentar
Fra : Christian E. Lysel

Dato : 02-07-02 22:32
Steen Suder wrote:
> Hvad er jeres erfaring mht. RAMforbrug på en Linux 2.4.x, der skal køre
> masquerading for ca. 100 brugere imod en 4Mb/s forbindelse?

Generelt ikke de store krav, bortset fra hvis du bruger en grafisk flade
på firewallen, hvilket ikke kan anbefaldes, pga. ydelse og sikkerhed.

Men hvad skal brugerne bruge Internet forbindelsen til og omvendt, hvor
meget (trafik, antal forbindelser, osv.), hvorfor er der valgt en 4 Mb/s
forbindelse?

Skal firewallen evt. logge trafikken på sin egen disk?

> Jeg regner med 128MB RAM; kan det med sikkerhed siges at være for lidt?

Sammenlignet med min firewall, der har 30MB og fylder en floppy er 128MB
voldsomt.

Snakker vi ydelse, er det nok din 4 Mb/s forbindelse der sætter grænsen,
derefter netværkskort/bustype, CPU, RAM, disk. Dog afhændig af hvad du
bruger din firewall til.

Hvilke netværkskort smide du i?


Søg
Reklame
Statistik
Spørgsmål : 177557
Tips : 31968
Nyheder : 719565
Indlæg : 6408872
Brugere : 218888
Månedens bedste
Årets bedste
Sidste års bedste
Copyright © 2000-2024 kandu.dk. Alle rettigheder forbeholdes.