IO
придётся лог читать
Size: a a a
2019 October 22
n
вообще убери все дропы для начала, чтобы исключить свой косяк
убрал, не взлетело
n
он для этого логирование первым правилом поставил
я сделал как вы посоветовали, 1е правило в логах есть, 2го нет
n
но и между ними никаких блокирующих правил нет
k
т.е. 1е правило было, 2го аналогичного не было, между ними - 1 правило аналоигчное первому (старое)
а accept на l2tp есть?
n
а accept на l2tp есть?
конечно!
k
accept тоже прерывает проверку дальнейших правил, не забывай об этом. сдвинь 2е логирование перед этим accept
k
я сделал как вы посоветовали, 1е правило в логах есть, 2го нет
так на обоих узлах?
n
так на обоих узлах?
да
k
домой через два часа приеду в личке помогу разобраться
k
если конечно терпит 2 часа проблема 😊
k
и если кто то раньше не поможет
S
Народ, как думаете по скорости работы правил фаервола, что менее нагружает CPU:
1) Разрешить все из ACL
2) дропать все, что не из ACL ?
1) Разрешить все из ACL
2) дропать все, что не из ACL ?
IO
чо, прям сильно надо сэкономить?
AF
Stanislav
Народ, как думаете по скорости работы правил фаервола, что менее нагружает CPU:
1) Разрешить все из ACL
2) дропать все, что не из ACL ?
1) Разрешить все из ACL
2) дропать все, что не из ACL ?
Зависит от количества правил в первом и втором случае, а так-же от PPS
n
домой через два часа приеду в личке помогу разобраться
буду очень признателен, терпит уже 4 дня 😅
S
чо, прям сильно надо сэкономить?
чисто теоретический вопрос
IO
предположим, одно из них быстрее на 0,5%
IO
толку-то от этого знания?
РА
Stanislav
Народ, как думаете по скорости работы правил фаервола, что менее нагружает CPU:
1) Разрешить все из ACL
2) дропать все, что не из ACL ?
1) Разрешить все из ACL
2) дропать все, что не из ACL ?
В первом варианте ты дропать ничего не будешь чтоли?)
Менее нагружает процессор правило, срезающее всё, что не в Access List, находящееся в IP—FIREWALL—RAW
Менее нагружает процессор правило, срезающее всё, что не в Access List, находящееся в IP—FIREWALL—RAW