别为iptables日志付出太多-一种Linux防火墙优化方法
2011-08-27 11:22
351 查看
日志很重要,然则别为其付出太多。
日志多用于审计和排错,在核心网络或者大负载服务器上,它很重要,然而却不是核心业务。
如果确认了自己的网络是安全的,请关掉日志。
内核有时候会因为日志不堪重负的。
在iptables防火墙上,使用ULOG而不是LOG纪录iptables日志,因为LOG使用耗时的printk,而ULOG则使用netlink直接将日志广播给用户态,真不行就overrun,而不是无条件写,这是对的,因为真的没有必要将每一个数据包都记录下来,iptables日志更多的在统计意义上有效,它们更多的要通过psad/gnuplot等程序绘制出图表以供分析。
编译内核的时候,减少printk缓冲区的大小:
Symbol: LOG_BUF_SHIFT [=17] #改成一个较小的数
x Prompt: Kernel log buffer size (16 => 64KB, 17 => 128KB)
x Defined at init/Kconfig:409
x Location:
x -> General setup
此时,我们应该信任syslog吗?是的,应该!
如果可能就在内核注册一个新的chain而不是在用户态使用iptable命令。
TP-LINK和D-Link的做法值得借鉴啊!
本文出自 “我来,我看,我征服” 博客,请务必保留此出处http://dog250.blog.51cto.com/2466061/1270961
日志多用于审计和排错,在核心网络或者大负载服务器上,它很重要,然而却不是核心业务。
如果确认了自己的网络是安全的,请关掉日志。
内核有时候会因为日志不堪重负的。
在iptables防火墙上,使用ULOG而不是LOG纪录iptables日志,因为LOG使用耗时的printk,而ULOG则使用netlink直接将日志广播给用户态,真不行就overrun,而不是无条件写,这是对的,因为真的没有必要将每一个数据包都记录下来,iptables日志更多的在统计意义上有效,它们更多的要通过psad/gnuplot等程序绘制出图表以供分析。
编译内核的时候,减少printk缓冲区的大小:
Symbol: LOG_BUF_SHIFT [=17] #改成一个较小的数
x Prompt: Kernel log buffer size (16 => 64KB, 17 => 128KB)
x Defined at init/Kconfig:409
x Location:
x -> General setup
此时,我们应该信任syslog吗?是的,应该!
如果可能就在内核注册一个新的chain而不是在用户态使用iptable命令。
TP-LINK和D-Link的做法值得借鉴啊!
本文出自 “我来,我看,我征服” 博客,请务必保留此出处http://dog250.blog.51cto.com/2466061/1270961
相关文章推荐
- 别为iptables日志付出太多-一种Linux防火墙优化方法
- 【转】Linux防火墙iptables开放网络端口的方法
- Linux上iptables防火墙配置方法
- 通过Linux系统下iptables防火墙开启/关闭指定端口方法
- linux设置iptables防火墙的详细步骤(centos防火墙设置方法)
- Linux防火墙iptables开放网络端口的方法
- linux配置防火墙详细步骤(iptables命令使用方法)
- linux防火墙iptables使用方法
- linux配置防火墙详细步骤(iptables命令使用方法)
- linux配置防火墙详细步骤(iptables命令使用方法)
- Linux防火墙IPTables配置方法详解
- linux设置iptables防火墙的详细步骤(centos防火墙设置方法)
- 《Linux优化之iptables防火墙处理及运维思想》
- Linux配置防火墙详细步骤(iptables命令使用方法)
- Linux防火墙iptables基本使用方法
- Linux系统Iptables的常用防火墙配置方法
- linux配置防火墙详细步骤(iptables命令使用方法)
- linux配置防火墙详细步骤(iptables命令使用方法)