Bonjour le monde,
consomment
pas (+/-) inutilement des ressources CPU / mémoire...
Merci de me fu2er vers un autre groupe si fcolc n'est pas approprié...
Bonjour le monde,
consomment
pas (+/-) inutilement des ressources CPU / mémoire...
Merci de me fu2er vers un autre groupe si fcolc n'est pas approprié...
Bonjour le monde,
consomment
pas (+/-) inutilement des ressources CPU / mémoire...
Merci de me fu2er vers un autre groupe si fcolc n'est pas approprié...
consomment
pas (+/-) inutilement des ressources CPU / mémoire...
Alors:
Est ce que tes serveur sont overbookés ? est ce que la consommation CPU
stabilise à plus de 80 % à longueur de journée ?
Si "non", alors tu as vraiment tort de t'inquiéter.
Si moi j'achète une barette de RAM et on bon CPU, c'est justement pour
qu'il soit utilisé. Si tu tien absolument à avoir ta ram libre,
démonte-la et pose la sur ton bureau :-)
Si tu en es à une moyenne de 10-15% sur toute une
journée, à mon avis tu à le temps de dormir. Pour avoir une idée, je
crois qu'il existe des outils comme mrtg qui font ça tres bien.
Ta distribution doit bien avoir des packages mrtg.
Merci de me fu2er vers un autre groupe si fcolc n'est pas approprié...
Pour iptables/ipchain je crois bien que c'est OK.
consomment
pas (+/-) inutilement des ressources CPU / mémoire...
Alors:
Est ce que tes serveur sont overbookés ? est ce que la consommation CPU
stabilise à plus de 80 % à longueur de journée ?
Si "non", alors tu as vraiment tort de t'inquiéter.
Si moi j'achète une barette de RAM et on bon CPU, c'est justement pour
qu'il soit utilisé. Si tu tien absolument à avoir ta ram libre,
démonte-la et pose la sur ton bureau :-)
Si tu en es à une moyenne de 10-15% sur toute une
journée, à mon avis tu à le temps de dormir. Pour avoir une idée, je
crois qu'il existe des outils comme mrtg qui font ça tres bien.
Ta distribution doit bien avoir des packages mrtg.
Merci de me fu2er vers un autre groupe si fcolc n'est pas approprié...
Pour iptables/ipchain je crois bien que c'est OK.
consomment
pas (+/-) inutilement des ressources CPU / mémoire...
Alors:
Est ce que tes serveur sont overbookés ? est ce que la consommation CPU
stabilise à plus de 80 % à longueur de journée ?
Si "non", alors tu as vraiment tort de t'inquiéter.
Si moi j'achète une barette de RAM et on bon CPU, c'est justement pour
qu'il soit utilisé. Si tu tien absolument à avoir ta ram libre,
démonte-la et pose la sur ton bureau :-)
Si tu en es à une moyenne de 10-15% sur toute une
journée, à mon avis tu à le temps de dormir. Pour avoir une idée, je
crois qu'il existe des outils comme mrtg qui font ça tres bien.
Ta distribution doit bien avoir des packages mrtg.
Merci de me fu2er vers un autre groupe si fcolc n'est pas approprié...
Pour iptables/ipchain je crois bien que c'est OK.
consomment
pas (+/-) inutilement des ressources CPU / mémoire...
Alors:
Est ce que tes serveur sont overbookés ? est ce que la consommation CPU
stabilise à plus de 80 % à longueur de journée ?
Et bien certains serveurs sont parfois dans le rouge, ce qui m'oblige à
à surdimensionner un peu ... [....]
Si je cherche un moyen de mesurer la quantité de ressources utilisées
par iptables/ipchains, c'est aussi pour optimiser les règles de filtrage
afin qu'elles consomment le moins possible sans pour autant que la
sécurité en patisse.
consomment
pas (+/-) inutilement des ressources CPU / mémoire...
Alors:
Est ce que tes serveur sont overbookés ? est ce que la consommation CPU
stabilise à plus de 80 % à longueur de journée ?
Et bien certains serveurs sont parfois dans le rouge, ce qui m'oblige à
à surdimensionner un peu ... [....]
Si je cherche un moyen de mesurer la quantité de ressources utilisées
par iptables/ipchains, c'est aussi pour optimiser les règles de filtrage
afin qu'elles consomment le moins possible sans pour autant que la
sécurité en patisse.
consomment
pas (+/-) inutilement des ressources CPU / mémoire...
Alors:
Est ce que tes serveur sont overbookés ? est ce que la consommation CPU
stabilise à plus de 80 % à longueur de journée ?
Et bien certains serveurs sont parfois dans le rouge, ce qui m'oblige à
à surdimensionner un peu ... [....]
Si je cherche un moyen de mesurer la quantité de ressources utilisées
par iptables/ipchains, c'est aussi pour optimiser les règles de filtrage
afin qu'elles consomment le moins possible sans pour autant que la
sécurité en patisse.
On 2004-11-22, J1 wrote:consomment
pas (+/-) inutilement des ressources CPU / mémoire...
Alors:
Est ce que tes serveur sont overbookés ? est ce que la consommation CPU
stabilise à plus de 80 % à longueur de journée ?
Et bien certains serveurs sont parfois dans le rouge, ce qui m'oblige à
à surdimensionner un peu ... [....]
Si je cherche un moyen de mesurer la quantité de ressources utilisées
par iptables/ipchains, c'est aussi pour optimiser les règles de filtrage
afin qu'elles consomment le moins possible sans pour autant que la
sécurité en patisse.
A mon avis la charge des iptables est difficile à mesurer. En effet,
Linux mesure bien la charge de chaque processus; mais le traitement
des paquets (donc celui par iptables) est effectué dans le noyau. Et
les iptables agissent par définition avant le processus recevant le
paquet.
Pour ma part, je n'imagine pas que les iptables chargent
significativement la machine. L'essentiel de la charge est AMHA dû aux
serveurs comme Apache, inetd, sshd, mysqld ... qui recoivent les
paquets.
On 2004-11-22, J1 <ji1.NOJUNK@free.fr> wrote:
consomment
pas (+/-) inutilement des ressources CPU / mémoire...
Alors:
Est ce que tes serveur sont overbookés ? est ce que la consommation CPU
stabilise à plus de 80 % à longueur de journée ?
Et bien certains serveurs sont parfois dans le rouge, ce qui m'oblige à
à surdimensionner un peu ... [....]
Si je cherche un moyen de mesurer la quantité de ressources utilisées
par iptables/ipchains, c'est aussi pour optimiser les règles de filtrage
afin qu'elles consomment le moins possible sans pour autant que la
sécurité en patisse.
A mon avis la charge des iptables est difficile à mesurer. En effet,
Linux mesure bien la charge de chaque processus; mais le traitement
des paquets (donc celui par iptables) est effectué dans le noyau. Et
les iptables agissent par définition avant le processus recevant le
paquet.
Pour ma part, je n'imagine pas que les iptables chargent
significativement la machine. L'essentiel de la charge est AMHA dû aux
serveurs comme Apache, inetd, sshd, mysqld ... qui recoivent les
paquets.
On 2004-11-22, J1 wrote:consomment
pas (+/-) inutilement des ressources CPU / mémoire...
Alors:
Est ce que tes serveur sont overbookés ? est ce que la consommation CPU
stabilise à plus de 80 % à longueur de journée ?
Et bien certains serveurs sont parfois dans le rouge, ce qui m'oblige à
à surdimensionner un peu ... [....]
Si je cherche un moyen de mesurer la quantité de ressources utilisées
par iptables/ipchains, c'est aussi pour optimiser les règles de filtrage
afin qu'elles consomment le moins possible sans pour autant que la
sécurité en patisse.
A mon avis la charge des iptables est difficile à mesurer. En effet,
Linux mesure bien la charge de chaque processus; mais le traitement
des paquets (donc celui par iptables) est effectué dans le noyau. Et
les iptables agissent par définition avant le processus recevant le
paquet.
Pour ma part, je n'imagine pas que les iptables chargent
significativement la machine. L'essentiel de la charge est AMHA dû aux
serveurs comme Apache, inetd, sshd, mysqld ... qui recoivent les
paquets.
Si je cherche un moyen de mesurer la quantité de ressources utilisées
par iptables/ipchains, c'est aussi pour optimiser les règles de filtrage
afin qu'elles consomment le moins possible sans pour autant que la
sécurité en patisse.
Si je cherche un moyen de mesurer la quantité de ressources utilisées
par iptables/ipchains, c'est aussi pour optimiser les règles de filtrage
afin qu'elles consomment le moins possible sans pour autant que la
sécurité en patisse.
Si je cherche un moyen de mesurer la quantité de ressources utilisées
par iptables/ipchains, c'est aussi pour optimiser les règles de filtrage
afin qu'elles consomment le moins possible sans pour autant que la
sécurité en patisse.
On 2004-11-22, J1 wrote:Est ce que tes serveur sont overbookés ? est ce que la consommation CPU
stabilise à plus de 80 % à longueur de journée ?
Et bien certains serveurs sont parfois dans le rouge, ce qui m'oblige à
à surdimensionner un peu ... [....]
Si je cherche un moyen de mesurer la quantité de ressources utilisées
par iptables/ipchains, c'est aussi pour optimiser les règles de filtrage
afin qu'elles consomment le moins possible sans pour autant que la
sécurité en patisse.
A mon avis la charge des iptables est difficile à mesurer. En effet,
Linux mesure bien la charge de chaque processus; mais le traitement
des paquets (donc celui par iptables) est effectué dans le noyau. Et
les iptables agissent par définition avant le processus recevant le
paquet.
Pour ma part, je n'imagine pas que les iptables chargent
significativement la machine. L'essentiel de la charge est AMHA dû aux
serveurs comme Apache, inetd, sshd, mysqld ... qui recoivent les
paquets.
Mais c'est vrai que je n'ai pas regardé précisement le source du noyau
à ce propos....
On 2004-11-22, J1 <ji1.NOJUNK@free.fr> wrote:
Est ce que tes serveur sont overbookés ? est ce que la consommation CPU
stabilise à plus de 80 % à longueur de journée ?
Et bien certains serveurs sont parfois dans le rouge, ce qui m'oblige à
à surdimensionner un peu ... [....]
Si je cherche un moyen de mesurer la quantité de ressources utilisées
par iptables/ipchains, c'est aussi pour optimiser les règles de filtrage
afin qu'elles consomment le moins possible sans pour autant que la
sécurité en patisse.
A mon avis la charge des iptables est difficile à mesurer. En effet,
Linux mesure bien la charge de chaque processus; mais le traitement
des paquets (donc celui par iptables) est effectué dans le noyau. Et
les iptables agissent par définition avant le processus recevant le
paquet.
Pour ma part, je n'imagine pas que les iptables chargent
significativement la machine. L'essentiel de la charge est AMHA dû aux
serveurs comme Apache, inetd, sshd, mysqld ... qui recoivent les
paquets.
Mais c'est vrai que je n'ai pas regardé précisement le source du noyau
à ce propos....
On 2004-11-22, J1 wrote:Est ce que tes serveur sont overbookés ? est ce que la consommation CPU
stabilise à plus de 80 % à longueur de journée ?
Et bien certains serveurs sont parfois dans le rouge, ce qui m'oblige à
à surdimensionner un peu ... [....]
Si je cherche un moyen de mesurer la quantité de ressources utilisées
par iptables/ipchains, c'est aussi pour optimiser les règles de filtrage
afin qu'elles consomment le moins possible sans pour autant que la
sécurité en patisse.
A mon avis la charge des iptables est difficile à mesurer. En effet,
Linux mesure bien la charge de chaque processus; mais le traitement
des paquets (donc celui par iptables) est effectué dans le noyau. Et
les iptables agissent par définition avant le processus recevant le
paquet.
Pour ma part, je n'imagine pas que les iptables chargent
significativement la machine. L'essentiel de la charge est AMHA dû aux
serveurs comme Apache, inetd, sshd, mysqld ... qui recoivent les
paquets.
Mais c'est vrai que je n'ai pas regardé précisement le source du noyau
à ce propos....
On Mon, 22 Nov 2004 18:03:40 +0000, Basile Starynkevitch [news] wrote:A mon avis la charge des iptables est difficile à mesurer. En effet,
Linux mesure bien la charge de chaque processus; mais le traitement
des paquets (donc celui par iptables) est effectué dans le noyau. Et
les iptables agissent par définition avant le processus recevant le
paquet.
Pour ma part, je n'imagine pas que les iptables chargent
significativement la machine. L'essentiel de la charge est AMHA dû aux
serveurs comme Apache, inetd, sshd, mysqld ... qui recoivent les
paquets.
Je pense comme toi. Et je pense que quoi qu'il en soit, il faut de toute
façon essayer d'optimiser les chaines en faisant en sorte qu'un paquet
traverse le moins de règles possibles. Donc, à mon avis, il ne faut pas
hésiter à créer des chaines, ça ne coute rien en temps d'execution
(juste un peu de RAM) et à diriger chaque paquet à filtrer sur la chaine
contenant toutes les règles qui s'y appliquent et uniquement elles...
Ainsi, le cout de traitement d'un paquet est minimisé.
On Mon, 22 Nov 2004 18:03:40 +0000, Basile Starynkevitch [news] wrote:
A mon avis la charge des iptables est difficile à mesurer. En effet,
Linux mesure bien la charge de chaque processus; mais le traitement
des paquets (donc celui par iptables) est effectué dans le noyau. Et
les iptables agissent par définition avant le processus recevant le
paquet.
Pour ma part, je n'imagine pas que les iptables chargent
significativement la machine. L'essentiel de la charge est AMHA dû aux
serveurs comme Apache, inetd, sshd, mysqld ... qui recoivent les
paquets.
Je pense comme toi. Et je pense que quoi qu'il en soit, il faut de toute
façon essayer d'optimiser les chaines en faisant en sorte qu'un paquet
traverse le moins de règles possibles. Donc, à mon avis, il ne faut pas
hésiter à créer des chaines, ça ne coute rien en temps d'execution
(juste un peu de RAM) et à diriger chaque paquet à filtrer sur la chaine
contenant toutes les règles qui s'y appliquent et uniquement elles...
Ainsi, le cout de traitement d'un paquet est minimisé.
On Mon, 22 Nov 2004 18:03:40 +0000, Basile Starynkevitch [news] wrote:A mon avis la charge des iptables est difficile à mesurer. En effet,
Linux mesure bien la charge de chaque processus; mais le traitement
des paquets (donc celui par iptables) est effectué dans le noyau. Et
les iptables agissent par définition avant le processus recevant le
paquet.
Pour ma part, je n'imagine pas que les iptables chargent
significativement la machine. L'essentiel de la charge est AMHA dû aux
serveurs comme Apache, inetd, sshd, mysqld ... qui recoivent les
paquets.
Je pense comme toi. Et je pense que quoi qu'il en soit, il faut de toute
façon essayer d'optimiser les chaines en faisant en sorte qu'un paquet
traverse le moins de règles possibles. Donc, à mon avis, il ne faut pas
hésiter à créer des chaines, ça ne coute rien en temps d'execution
(juste un peu de RAM) et à diriger chaque paquet à filtrer sur la chaine
contenant toutes les règles qui s'y appliquent et uniquement elles...
Ainsi, le cout de traitement d'un paquet est minimisé.
Si je cherche un moyen de mesurer la quantité de ressources utilisées
par iptables/ipchains, c'est aussi pour optimiser les règles de filtrage
afin qu'elles consomment le moins possible sans pour autant que la
sécurité en patisse.
Le mieux serait à mon avis de publier vos règles et nous demander
commentaires et conseils.
Si je cherche un moyen de mesurer la quantité de ressources utilisées
par iptables/ipchains, c'est aussi pour optimiser les règles de filtrage
afin qu'elles consomment le moins possible sans pour autant que la
sécurité en patisse.
Le mieux serait à mon avis de publier vos règles et nous demander
commentaires et conseils.
Si je cherche un moyen de mesurer la quantité de ressources utilisées
par iptables/ipchains, c'est aussi pour optimiser les règles de filtrage
afin qu'elles consomment le moins possible sans pour autant que la
sécurité en patisse.
Le mieux serait à mon avis de publier vos règles et nous demander
commentaires et conseils.
On 2004-11-22, J1 wrote:Est ce que tes serveur sont overbookés ? est ce que la consommation CPU
stabilise à plus de 80 % à longueur de journée ?
Et bien certains serveurs sont parfois dans le rouge, ce qui m'oblige à
à surdimensionner un peu ... [....]
Si je cherche un moyen de mesurer la quantité de ressources utilisées
par iptables/ipchains, c'est aussi pour optimiser les règles de filtrage
afin qu'elles consomment le moins possible sans pour autant que la
sécurité en patisse.
A mon avis la charge des iptables est difficile à mesurer. En effet,
Linux mesure bien la charge de chaque processus; mais le traitement
des paquets (donc celui par iptables) est effectué dans le noyau. Et
les iptables agissent par définition avant le processus recevant le
paquet.
Pour ma part, je n'imagine pas que les iptables chargent
significativement la machine. L'essentiel de la charge est AMHA dû aux
serveurs comme Apache, inetd, sshd, mysqld ... qui recoivent les
paquets.
Mais c'est vrai que je n'ai pas regardé précisement le source du noyau
à ce propos....
Si j'ai tout suivi, iptables (netfilter ?) agit avant que les paquets
arrivent aux processi, et c'est même là son interêt.
Mais ces taches doivent tout de même bien être traitées par le noyau,
donc par un (ou des) processeur, ce qui implique bien une charge...
Tout comme le travail concernant la gestion des FS, de la mise en cache,
de la swap, de l'ordonnancement, et la liste doit être bien plus longue
encore.
L'intégralité de cette charge est elle reportée par le pourcentage que
l'on peut voir sous le label "system" en faisant un top ?
Si oui, comment faut il faire pour savoir quels éléments composent ce
total de charge "system" ?
On 2004-11-22, J1 <ji1.NOJUNK@free.fr> wrote:
Est ce que tes serveur sont overbookés ? est ce que la consommation CPU
stabilise à plus de 80 % à longueur de journée ?
Et bien certains serveurs sont parfois dans le rouge, ce qui m'oblige à
à surdimensionner un peu ... [....]
Si je cherche un moyen de mesurer la quantité de ressources utilisées
par iptables/ipchains, c'est aussi pour optimiser les règles de filtrage
afin qu'elles consomment le moins possible sans pour autant que la
sécurité en patisse.
A mon avis la charge des iptables est difficile à mesurer. En effet,
Linux mesure bien la charge de chaque processus; mais le traitement
des paquets (donc celui par iptables) est effectué dans le noyau. Et
les iptables agissent par définition avant le processus recevant le
paquet.
Pour ma part, je n'imagine pas que les iptables chargent
significativement la machine. L'essentiel de la charge est AMHA dû aux
serveurs comme Apache, inetd, sshd, mysqld ... qui recoivent les
paquets.
Mais c'est vrai que je n'ai pas regardé précisement le source du noyau
à ce propos....
Si j'ai tout suivi, iptables (netfilter ?) agit avant que les paquets
arrivent aux processi, et c'est même là son interêt.
Mais ces taches doivent tout de même bien être traitées par le noyau,
donc par un (ou des) processeur, ce qui implique bien une charge...
Tout comme le travail concernant la gestion des FS, de la mise en cache,
de la swap, de l'ordonnancement, et la liste doit être bien plus longue
encore.
L'intégralité de cette charge est elle reportée par le pourcentage que
l'on peut voir sous le label "system" en faisant un top ?
Si oui, comment faut il faire pour savoir quels éléments composent ce
total de charge "system" ?
On 2004-11-22, J1 wrote:Est ce que tes serveur sont overbookés ? est ce que la consommation CPU
stabilise à plus de 80 % à longueur de journée ?
Et bien certains serveurs sont parfois dans le rouge, ce qui m'oblige à
à surdimensionner un peu ... [....]
Si je cherche un moyen de mesurer la quantité de ressources utilisées
par iptables/ipchains, c'est aussi pour optimiser les règles de filtrage
afin qu'elles consomment le moins possible sans pour autant que la
sécurité en patisse.
A mon avis la charge des iptables est difficile à mesurer. En effet,
Linux mesure bien la charge de chaque processus; mais le traitement
des paquets (donc celui par iptables) est effectué dans le noyau. Et
les iptables agissent par définition avant le processus recevant le
paquet.
Pour ma part, je n'imagine pas que les iptables chargent
significativement la machine. L'essentiel de la charge est AMHA dû aux
serveurs comme Apache, inetd, sshd, mysqld ... qui recoivent les
paquets.
Mais c'est vrai que je n'ai pas regardé précisement le source du noyau
à ce propos....
Si j'ai tout suivi, iptables (netfilter ?) agit avant que les paquets
arrivent aux processi, et c'est même là son interêt.
Mais ces taches doivent tout de même bien être traitées par le noyau,
donc par un (ou des) processeur, ce qui implique bien une charge...
Tout comme le travail concernant la gestion des FS, de la mise en cache,
de la swap, de l'ordonnancement, et la liste doit être bien plus longue
encore.
L'intégralité de cette charge est elle reportée par le pourcentage que
l'on peut voir sous le label "system" en faisant un top ?
Si oui, comment faut il faire pour savoir quels éléments composent ce
total de charge "system" ?
Le mieux serait à mon avis de publier vos règles et nous demander
commentaires et conseils.
Cette proposition tient-elle aussi pour un jeu de 300 règles ? :-D
En attendant j'ai aussi quelques questions plus générales.
Quelle est l'influence relative des éléments suivants sur le temps
d'exécution ?
- la présence d'une règle indépendamment de son contenu
- le saut d'une chaîne dans une autre
- le nombre et le type des correspondances dans une règle
- y a-t-il des correspondances plus gourmandes que d'autres (à factoriser
en priorité donc) ?
Par exemple, est-ce que le temps d'exécution de
INPUT -j chaine
chaine -p tcp --dport 80 -j ACCEPT
chaine -p udp --dport 53 -j ACCEPT
est sensiblement plus long que
INPUT -p tcp --dport 80 -j ACCEPT
INPUT -p udp --dport 53 -j ACCEPT
-j ACCEPT
pegase root # time ping -f -c 10000000 -s 10000 -q -n 127.0.0.1
-j ACCEPT
pegase root # time ping -f -c 10000000 -s 10000 -q -n 127.0.0.1
Connaissez-vous des docs qui en parlent ?
Le mieux serait à mon avis de publier vos règles et nous demander
commentaires et conseils.
Cette proposition tient-elle aussi pour un jeu de 300 règles ? :-D
En attendant j'ai aussi quelques questions plus générales.
Quelle est l'influence relative des éléments suivants sur le temps
d'exécution ?
- la présence d'une règle indépendamment de son contenu
- le saut d'une chaîne dans une autre
- le nombre et le type des correspondances dans une règle
- y a-t-il des correspondances plus gourmandes que d'autres (à factoriser
en priorité donc) ?
Par exemple, est-ce que le temps d'exécution de
INPUT -j chaine
chaine -p tcp --dport 80 -j ACCEPT
chaine -p udp --dport 53 -j ACCEPT
est sensiblement plus long que
INPUT -p tcp --dport 80 -j ACCEPT
INPUT -p udp --dport 53 -j ACCEPT
-j ACCEPT
pegase root # time ping -f -c 10000000 -s 10000 -q -n 127.0.0.1
-j ACCEPT
pegase root # time ping -f -c 10000000 -s 10000 -q -n 127.0.0.1
Connaissez-vous des docs qui en parlent ?
Le mieux serait à mon avis de publier vos règles et nous demander
commentaires et conseils.
Cette proposition tient-elle aussi pour un jeu de 300 règles ? :-D
En attendant j'ai aussi quelques questions plus générales.
Quelle est l'influence relative des éléments suivants sur le temps
d'exécution ?
- la présence d'une règle indépendamment de son contenu
- le saut d'une chaîne dans une autre
- le nombre et le type des correspondances dans une règle
- y a-t-il des correspondances plus gourmandes que d'autres (à factoriser
en priorité donc) ?
Par exemple, est-ce que le temps d'exécution de
INPUT -j chaine
chaine -p tcp --dport 80 -j ACCEPT
chaine -p udp --dport 53 -j ACCEPT
est sensiblement plus long que
INPUT -p tcp --dport 80 -j ACCEPT
INPUT -p udp --dport 53 -j ACCEPT
-j ACCEPT
pegase root # time ping -f -c 10000000 -s 10000 -q -n 127.0.0.1
-j ACCEPT
pegase root # time ping -f -c 10000000 -s 10000 -q -n 127.0.0.1
Connaissez-vous des docs qui en parlent ?