FastNetMon

понедельник, 5 ноября 2012 г.

PowerDNS recursor и iptables state/conntrack

При высокой нагрузке на PowerDNS рекурсор (да и любой другой рекурсор) происходит совершенно безосновательная нагрузка на iptables/conntrack модуль, который фиксирует все до последнего соединения, хотя это совершенно не требуется.

От этого избавиться можно крайне легко - пометив через NOTRACK пакеты  от/к 53 порту:


iptables -t raw -I OUTPUT -p udp --dport 53 -j NOTRACK
iptables -t raw -I OUTPUT -p udp --sport 53 -j NOTRACK
iptables -t raw -I PREROUTING -p udp --dport 53 -j NOTRACK
iptables -t raw -I PREROUTING -p udp --sport 53 -j NOTRACK
iptables -I INPUT -p udp --dport 53 -j ACCEPT
iptables -I INPUT -p udp --sport 53 -j ACCEPT
iptables -I OUTPUT -p udp --dport 53 -j ACCEPT


Источник (а также правила на случай IPv6): http://doc.powerdns.com/recursor-performance.html

Комментариев нет :

Отправка комментария

Примечание. Отправлять комментарии могут только участники этого блога.