어제 저녁 자정무렵에 새로운 "투명" 네트워크 필터링을 배포했습니다. 필터링은 전역 필터링 및 Linode 별 필터링의 두 범주로 나뉩니다.
전역 필터링은 모든 호스트에서 이미 활성화되었습니다. 이렇게 하면 대부분의 브로드캐스트 트래픽, HSRP 메시지 및 UDP 포트 137 트래픽을 필터링합니다.
Linode 특정 필터링 필터는 브로드캐스트 트래픽을 필터링하고 ARP 트래픽은 IP로 향하지 않습니다.
Linode 특정 필터링은 host1 및 host2를 제외한 모든 호스트에서 사용할 수 있습니다. 이러한 기능에는 host1 및 host2를 다시 부팅해야 하는 새 커널 기능이 필요합니다 (둘 다 100일 이상 가동 시간). 지금은 host1 및 host2에서 전역 필터링 및 원본 필터링만 사용할 수 있습니다.
host1 및 host2에 없는 경우 새 필터링 규칙을 활용하려면 Linode를 재부팅해야 합니다.
일부 tcpdumps를 수행하는 경우, 당신은 크게 개선된 것을 알 수 있습니다.
감사하고 즐기십시오!
-크리스
댓글 (1)
[quote:496f1af48f=”caker”]The Linode specific filtering is available on all the hosts except host1 and host2. These require new kernel features which would require a reboot of host1 and host2 (both have over 100 days uptime). For now, only the global filtering and the original filtering is available on host1 and host2.[/quote]
Ahh! Okay — I was just running tcpdump to debug some stuff, so I was wondering what you were smoking there for a minute. This brings up an important point though: we all enjoy long uptimes, especially for the host nodes. What’s more, I’ve certainly had Linux boxes enjoy uptimes of over a year, and I’ve heard of much longer. Yet, I’m sure that there will be a need to upgrade the host machines every now and then, so have you considered having some sort of scheduled maintanence window where we can plan on our nodes going down, take any appropriate precausions, and be ready to do whatever we need when the host comes back up? I’m thinking something really infrequent, like once a year or something.
Just a thought.
-“Zow”