通過對TOS的優化提高防火墻性能_Unix系統

通過對TOS的優化提高防火墻性能

發表于：2007-05-26來源：作者：點擊數：標簽：

摘要本文講述了如何通過對TOS的優化來提高防火墻的整體性能為了讓Iptables對封包過濾規則更有效率，我們可以通過加載ipt_TOS模塊來對各種類型的傳輸協議來做優化處理，從而來提高整體的性能,而針對ipchains我們可以通過其-t參數來做。IP地址包大家都知道

摘要

本文講述了如何通過對TOS的優化來提高防火墻的整體性能

為了讓Iptables對封包過濾規則更有效率，我們可以通過加載ipt_TOS模塊來對各種類型的傳輸協議來做優化處理，從而來提高整體的性能,而針對ipchains我們可以通過其-t參數來做。IP地址包大家都知道是各種封包的基礎，而在IP地址封包的標頭（header）的TOS（type－of－service）字段里面，則可以設置處理封包的執行效率。

IP地址封包標頭的TOs字段由8位組成，可以由一個十六進制描述，在這8位里，前3位舍棄不用，最后一位固定是0，中間的四個位分別來控制封包的：最小延時，最大處理量，最大可靠度和最小花費。這四個位只有一位是1。如果用十六進制來描述這四種狀態的話，分別是0x10,0x08,0x04,0x02。如果四個位都是0，則表示正常運行，不做封包的特殊處理。

不同的傳輸協議在封包的傳輸上由其不同的特性，比如telnet,http類型封包需要最小延遲控制；ftp類型封包需要最小延遲與最大處理量控制；snmp類型封包需要最大可靠度，而icmp則不需要做任何控制。為了讓封包的傳遞能得到優化，當設置防火墻規則時，可以使用iptables的參數tos來對IP地址封包頭的TOS字段做設置，以得到最佳的傳輸品質。

iptables中為在-j TOS --set-tos 后面接你想要的優化方式（參照iptables -j TOS -h），而在Ipchains中則是在－t后面接十六進制碼,第一個十六進制碼會與IP地址封包頭的TOS字段做AND運算，其處理結果會與參數-t后的第二個十六進制碼再做XOR運算,最后處理結果則寫入IP地址封包頭的TOS字段,用來控制封包傳輸優化.因此,如果要控制封包傳輸:最小延時，最大處理量，最大可靠度和最小花費等,則可以使用Ipchains -t 設置如下:

1.最小延遲:ipchains -t 0x01 0x10

2.最大處理量:ipchains -t 0x01 0x8

3.最大可靠度:ipchains -t 0x01 0x4

4.最小花費:ipchains -t 0x01 0x02

而iptables的設置則簡單一些直接用iptables -j TOS -h里面得到的數字值

比如我要優化telnet的TOS我可以用一下語句來進行

iptables -A PREROUTING -t mangle -p tcp --dport
            telnet -j TOS --set-tos Minimize-Delay

而在ipchains中我可以這樣:

ipchains -A output -p tcp -d 0.0.0.0/0 telnet -t 0x01 0x10

以上兩個語句執行的效果是等同的.

以下是iptables -j TOS -h 后得到的幫助中的可以使用的數字值

TOS target v1.2.7a options:
            --set-tos value Set Type of Service field to one of the
            following numeric or descriptive values:
            Minimize-Delay 16 (0x10)
            Maximize-Throughput 8 (0x08)
            Maximize-Reliability 4 (0x04)
            Minimize-Cost 2 (0x02)
            Normal-Service 0 (0x00)

大家可以在初始化防火墻且尚未設置防火墻規則時,先為各種類型封包設置最佳處理模式,以下的兩組語句針對不同的兩種情況:

1.針對使用iptables的朋友
            iptables -A PREROUTING -t mangle -p tcp --dport telnet             -j TOS --set-tos Minimize-Delay
            iptables -A PREROUTING -t mangle -p tcp --dport ftp -j TOS             --set-tos Minimize-Delay
            iptables -A PREROUTING -t mangle -p tcp --dport ftp-data -j             TOS --set-tos Maximize-Throughput
            iptables -A PREROUTING -t mangle -p tcp --dport www -j TOS             --set-tos Minimize-Delay
            iptables -A PREROUTING -t mangle -p tcp --dport smtp -j TOS             --set-tos Maximize-Throughput
            iptables -A PREROUTING -t mangle -p tcp --dport domain -j TOS             --set-tos Maximize-Throughput
            iptables -A PREROUTING -t mangle -p udp --dport domain -j TOS             --set-tos Minimize-Delay
            iptables -A PREROUTING -t mangle -p tcp --dport pop3 -j TOS             --set-tos Minimize-Cost

2.針對使用ipchains的朋友

ipchains -A output -p tcp -d 0.0.0.0/0 telnet -t 0x01 0x10
            ipchains -A output -p tcp -d 0.0.0.0/0 ftp -t 0x01 0x10
            ipchains -A output -p tcp -d 0.0.0.0/0 ftp-data -t 0x01 0x08
            ipchains -A output -p tcp -d 0.0.0.0/0 www -t 0x01 0x10
            ipchains -A output -p tcp -d 0.0.0.0/0 smtp -t 0x01 0x08
            ipchains -A output -p tcp -d 0.0.0.0/0 dns -t 0x01 0x08
            ipchains -A output -p udp -d 0.0.0.0/0 dns -t 0x01 0x10
            ipchains -A output -p tcp -d 0.0.0.0/0 pop3 -t 0x01 0x02

希望可以借小弟的拙文讓大家可以靈活的運用在日常的工作中,謝謝!

原文轉自：http://www.kjueaiud.com

相關文章

漫畫賞析：Linux 內核到底長啥樣

Linux的進程優先級

Windows原生運行Linux的技術細節

Linux常用性能調優工具索引

top使用技巧

bash遍歷目錄

周排行

月排行

下載

全網最詳細的接口測試實戰

先測試再開發？TDD測試驅動

自動化測試架構

軟件測試架構師的知識能力

大數據平臺測試方法

用不同的測試模型來構建測

當軟件測試遇上ChatGPT：軟件

全網最詳細的接口測試實戰

先測試再開發？TDD測試驅動

自動化測試架構

軟件測試架構師的知識能力

大數據平臺測試方法

用不同的測試模型來構建測

當軟件測試遇上ChatGPT：軟件

MBT基于模型的測試介紹資料

iso29119相關介紹性資料

HP QTP 10 中文版官方中文補丁

HP QTP 10 英文版下載地址

HP ALM 11 官方中文版下載地址

Quality Center 9.0中文版下載地

HttpWatch Basic Edition Version 7.

WIN2003+ORACLE11G+QC11(ALM11) 安裝

WIN2003+SQL2005(SP3)+QC11(ALM11) 安

軟件測試沙龍 More>>

新浪微博 More>>

熱門標簽

功能測試

性能測試

安全測試

本地化測試

游戲測試

web測試

單元測試

敏捷測試

測試用例

測試模版

測試管理

測試工具

《測試團隊的招聘與管理

《我們應該如何構建我們

軟件測試 > 測試開發技術 > 軟件測試環境搭建 > Unix系統 >

通過對TOS的優化提高防火墻性能