Zum Inhalt springen
BlogVernetzungVerbesserungen bei der Netzwerkfilterung

Verbesserungen bei der Netzwerkfilterung

Ich habe gestern Abend gegen Mitternacht die neue "transparente" Netzwerkfilterung eingeführt. Die Filterung fällt in zwei Kategorien, globale Filterung und Linode-spezifische Filterung.

Die globale Filterung ist bereits auf allen Hosts aktiviert. Dadurch wird der größte Teil des Broadcast-Verkehrs, der HSRP-Nachrichten und des UDP-Port-137-Verkehrs gefiltert.

Die Linode-spezifische Filterung filtert Broadcast-Datenverkehr und ARP-Datenverkehr, der nicht für Ihre IP(s) bestimmt ist.

Die Linode-spezifische Filterung ist auf allen Hosts außer host1 und host2 verfügbar. Diese erfordern neue Kernel-Funktionen, die einen Neustart von host1 und host2 erfordern würden (beide haben über 100 Tage Betriebszeit). Im Moment sind nur die globale Filterung und die ursprüngliche Filterung auf host1 und host2 verfügbar.

Für diejenigen, die nicht auf host1 und host2 sind, müssen Sie Ihre Linode neu starten, um die Vorteile der neuen Filterregeln zu nutzen.

Wenn Sie einige tcpdumps durchführen, sollten Sie eine große Verbesserung feststellen.

Danke und viel Spaß!

-Chris

Kommentare (1)

  1. Author Photo

    [quote:496f1af48f=”caker”]The Linode specific filtering is available on all the hosts except host1 and host2. These require new kernel features which would require a reboot of host1 and host2 (both have over 100 days uptime). For now, only the global filtering and the original filtering is available on host1 and host2.[/quote]

    Ahh! Okay — I was just running tcpdump to debug some stuff, so I was wondering what you were smoking there for a minute. This brings up an important point though: we all enjoy long uptimes, especially for the host nodes. What’s more, I’ve certainly had Linux boxes enjoy uptimes of over a year, and I’ve heard of much longer. Yet, I’m sure that there will be a need to upgrade the host machines every now and then, so have you considered having some sort of scheduled maintanence window where we can plan on our nodes going down, take any appropriate precausions, and be ready to do whatever we need when the host comes back up? I’m thinking something really infrequent, like once a year or something.

    Just a thought.

    -“Zow”

Kommentar abgeben

Ihre E-Mail Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit *gekennzeichnet