如何針對高 DNS 流量優化 iptables？

如何針對高 DNS 流量優化 iptables？我有一個使用 iptables 充當橋接防火牆的專用 linux 伺服器。最近在防火牆後面部署了高負載的 DNS 伺服器，防火牆開始工作緩慢。一些技巧，如何讓防火牆更有效？

您不應該記錄允許的流量規則，以避免過多的日誌（以及寫入日誌的時間）。dns 數據包很小，但數量眾多。您的防火牆可能無法每秒處理該數量的數據包。

ifconfig -a 是否報告丟棄/錯誤/溢出/碰撞？

您可以使用 iptraf 獲取每個大小分佈的數據包數：

iptraf -i eth0 -z eth0

您可以為每個乙太網卡添加 cpu 親和性，以提高它可以處理的 pps 數

您可能會用盡連接表。您可以使用 NOTRACK 選項，這樣 DNS 流量就不會保留在連接表中，從而提高性能。

引用自：https://serverfault.com/questions/109114