❦ 31 janvier 2013 15:02 CET, Christophe Baegert <c.baegert-lis...@lixium.fr> :
>> Je me demande si d’installer et configurer un iptables sur un
>> routeur BGP Quagga (debian) est une bonne chose ?
>> Est-ce que cela ne vas pas ralentir le routage ?
>
> Il faut juste éviter qu'il fasse du connection tracking, pour ça le plus
> sûr est de faire un "lsmod|grep conntrack". S'il est activé, on court à
> la catastrophe.
iptables -t raw -I PREROUTING -j NOTRACK
iptables -t raw -I OUTPUT -j NOTRACK
Cela permet aussi de conserver la conntrack pour les connexions
d'administration. Avec la mémoire dispo actuellement, il est aussi
possible de tuner la conntrack pour augmenter drastiquement la taille de
la table de connexions et diminuer le te timeout de la plupart des
états.
Sinon, on peut aussi filtrer avec tc.
--
Watch out for off-by-one errors.
- The Elements of Programming Style (Kernighan & Plauger)
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
