Le 01 octobre 2007 à 19:47, John Fistack a écrit: > - relier directement sans NAT les répartiteurs LVS au routeur BGP et > les auto-firewalliser en iptables ?
Oui, ca tiendrait bien plus que 2 Gb/s, et ca fait des économies pour les machines qui rendent vraiment le service. Si j'avais vraiment un firewall en coupure à mettre, je désactiverais le NAT et le connection tracking, qui sont gourmands en CPU et risquent de s'écrouler en cas de présence de paquets fragmentés et surtout du nombre de connexions. Sinon, pour l'histoire des bicore, il me semble que la table de nat et la table de connexion tracking sont unique dans l'os. Si on a 4 cpu, ils vont se battre pour accèder à la même ressource, et à mon avis, on risque de ne pas gagner énormément. -- Xavier Nicollet http://nicollet.jeru.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
