เรามีปัญหาในการตั้งค่าเซิร์ฟเวอร์ที่เรียกใช้บริการ และเซิร์ฟเวอร์สามารถเชื่อมต่อพร้อมกันได้หลายร้อยรายการบนพอร์ต 3535 (กำหนดโดยพลการสำหรับแอปพลิเคชันนี้) เรามีไฟร์วอลล์ที่ทำงานบนโฮสต์ระยะใกล้นี้ ซึ่งช่วยให้สามารถเชื่อมต่อจากโฮสต์ระดับไกลได้ และทั้งหมดนี้ก็ใช้งานได้ดี ปัญหาที่เราพบคือโฮสต์ระยะไกลสามารถสร้างการเชื่อมต่อได้ไม่กี่ครั้งในแต่ละครั้ง และใช้เวลามากกว่า 30 วินาทีในการรับการเชื่อมต่อเหล่านั้น ส่วนใหญ่ที่เราได้เห็นในโฮสต์ที่ใกล้จะสิ้นสุดคือประมาณ 35 การเชื่อมต่อโดยเฉลี่ย เราปิดไฟร์วอลล์และทันทีที่มีการเชื่อมต่อถึง 850 ครั้ง และปลายทางรายงานว่าไม่มีปัญหาและไม่มีความล่าช้าเมื่อเชื่อมต่อ และทำงานได้อย่างไร้ที่ติเป็นเวลา 15 นาที (จนกว่าเราจะเปิดไฟร์วอลล์อีกครั้ง)
เรามีกฎง่ายๆ ที่ตั้งไว้และไม่ได้ควบคุมปริมาณใดๆ มีการควบคุมปริมาณเริ่มต้นใน firewalld ที่ฉันต้องปิดการใช้งานหรือฉันควรไปที่ nftables และถ้าเป็นเช่นนั้นจริง ๆ แล้วมันจะทำงานได้ดีขึ้นหรือฉันกำลังไล่ล่าผี? ISP ของฉันไม่ได้ใช้ VMWARE ดังนั้นจึงไม่มีโซลูชันภายนอก
ขอบคุณล่วงหน้า. เดวิด
ผู้ดูแล firewalld ที่นี่
ขณะนี้ Firewalld ไม่รองรับการเร่งความเร็ว (เส้นทางด่วนของซอฟต์แวร์หรือฮาร์ดแวร์ออฟโหลด) อย่างไรก็ตาม ฉันคิดว่าทั้งสองสามารถเพิ่มได้โดยใช้ nftables ตารางการไหล โครงสร้างพื้นฐาน มี NIC เพียงไม่กี่ตัวเท่านั้นที่รองรับโฟลโหลดโฟลว์เทเบิล
ที่ถูกกล่าวว่าสิ่งที่คุณอธิบายฟังดูผิด นั่นเป็นผลงานสุดซึ้ง Firewalld ไม่ได้ทำไฟร์วอลล์จริง ๆ มันสร้างชุดกฎ iptables/nftables และนำไปใช้ การดำเนินการกฎ iptables/nftables เกิดขึ้นในเคอร์เนล/netfilter
คุณอาจพิจารณาปิดใช้งานคุณสมบัติเสริมของไฟร์วอลล์บางอย่าง ตัวกรอง IPv6_rp เป็นที่ทราบกันดีว่ามีปัญหาด้านประสิทธิภาพการทำงานในสภาพแวดล้อมที่ปรับขนาด เนื่องจากต้องใช้การค้นหา FIB พิจารณาสิ่งอื่นๆ ที่อาจทำให้มีการอัปเดตกฎบ่อยครั้งหรือเพิ่มกฎจำนวนมาก เช่น ล้มเหลว 2 แบน
หลังจากการค้นคว้ามากมายปรากฏว่า nftables ไม่ใช่ "ผู้กอบกู้" ที่นี่ มันไม่ได้ทำงานได้ดีกว่า iptables ในสถานการณ์นี้ และดังนั้นจึงไม่เป็นประโยชน์
ปัญหาประสิทธิภาพโดยรวมดูเหมือนจะเป็นข้อจำกัดของซอฟต์แวร์ไฟร์วอลล์ของไฟร์วอลล์และต้องได้รับการแก้ไขโดยไฟร์วอลล์ภายนอก ฯลฯ ปัญหาอื่น ๆ ก็มีปัญหาเดียวกันและไม่ได้รับการแก้ไข: https://forums.centos.org/viewtopic.php?t=58673
คุณสามารถลองคัดลอกกฎ iptables / nftables ที่สร้างโดย firewalld ปิดใช้งาน firewalld แล้ววางกฎ iptables / nftables อีกครั้ง เพื่อให้คุณสามารถยืนยันหรือยืนยันว่า firewalld มีพารามิเตอร์จำกัดอื่นๆ
หากยังจำกัดอยู่ แสดงว่าเป็นกฎที่สร้างขึ้น และคุณสามารถลองปรับกฎให้เหมาะสมหรือสร้างใหม่ตั้งแต่ต้นด้วย iptables / nftables
หากไม่ใช่ แสดงว่าอาจเป็นข้อจำกัดของไฟร์วอลล์ หรืออาจเป็นข้อบกพร่องของไฟร์วอลล์
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
