| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| Wiszące połączenia na nnd http://forum.freesco.pl/viewtopic.php?f=22&t=16728 |
Strona 1 z 1 |
| Autor: | jacopp [ piątek, 28 marca 2008, 10:44 ] |
| Tytuł: | Wiszące połączenia na nnd |
Witam W ostatnim czasie miałem drobne problemy z łączem które udostępniam przez serwer z NND. Przeczytałem kilka wątków na temat otwartych połączeń. Dzisiaj w godzinach porannych (aktywne 2-3 kompy w sieci) chciałem sprawdzić jak wygląda sprawa u mnie. Czy to co podaje mi powyższe polecenie to wiszące połączenia ? Idąc dalej sprawdziłem jeszcze przez poniższe polecenie: cat /proc/net/ip_conntrack |grep tcp | sed -n 's%.* src=\(192.168.[0-9.]*\).*%\1%p'| sort | uniq -c 170 192.168.1.10 183 192.168.1.12 182 192.168.1.13 181 192.168.1.14 177 192.168.1.15 190 192.168.1.16 179 192.168.1.17 187 192.168.1.18 128 192.168.1.19 179 192.168.1.2 192 192.168.1.20 2 192.168.1.200 176 192.168.1.21 187 192.168.1.22 185 192.168.1.23 188 192.168.1.24 182 192.168.1.25 177 192.168.1.26 183 192.168.1.27 178 192.168.1.28 176 192.168.1.29 163 192.168.1.3 187 192.168.1.30 183 192.168.1.31 180 192.168.1.32 186 192.168.1.33 185 192.168.1.34 157 192.168.1.4 165 192.168.1.5 167 192.168.1.6 191 192.168.1.7 186 192.168.1.8 1 192.168.1.80 181 192.168.1.9 Czy to co podają mi powyższe polecenia to normalne ? Jeśli nie to co zrobić aby spowodować zamykanie tych połączeń po pewnym, określonym czasie ? |
|
| Autor: | qrak [ piątek, 28 marca 2008, 13:40 ] |
| Tytuł: | |
Zainteresuj się skryptem clr_conns. |
|
| Autor: | zciech [ piątek, 28 marca 2008, 14:33 ] |
| Tytuł: | |
echo 14400 >/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established |
|
| Autor: | -MW- [ piątek, 28 marca 2008, 16:50 ] |
| Tytuł: | |
http://wiki.nnd-linux.pl/index.php/Optymalizacja_NND |
|
| Autor: | jacopp [ piątek, 28 marca 2008, 21:37 ] |
| Tytuł: | |
Cytuj: echo 14400 >/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
Ok ale gdzie to wpisac zeby na stałe było bo po resecie wraca do staregej wartości (o zgrozo 432000) |
|
| Autor: | realisty [ piątek, 28 marca 2008, 22:20 ] |
| Tytuł: | |
mozesz do rc.local wpisac te linijke |
|
| Autor: | jacopp [ wtorek, 16 grudnia 2008, 10:32 ] |
| Tytuł: | |
witam chciałbym odświeżyć temat ponieważ ponownie mam problem z wiszącymi połączeniami jeden z użytkowników sieci używa Bitcometa, otwiera sporo połączeń, próbowałem dopisać reguły connlimit do iptables.rules # Generated by iptables-save v1.3.4 on Tue Aug 28 22:12:18 2007 *filter :INPUT DROP [716:169208] :FORWARD DROP [0:0] :OUTPUT ACCEPT [23897:3090900] :mrtg_traffic - [0:0] -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m multiport --dports 135,445 -j DROP -A INPUT -p tcp -m tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable -A INPUT -p tcp -m tcp --dport 1080 -j REJECT --reject-with icmp-port-unreachable -A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -i eth0 -p tcp -m tcp --dport 50 -j ACCEPT -A INPUT -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT -A INPUT -i eth0 -p tcp -m tcp --dport 3389 -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT -A INPUT -i ! eth0 -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -j mrtg_traffic -A FORWARD -m ipp2p --soul -j DROP -A FORWARD -m ipp2p --winmx -j DROP -A FORWARD -m ipp2p --apple -j DROP -A FORWARD -m ipp2p --gnu -j DROP -A FORWARD -m ipp2p --kazaa -j DROP -A FORWARD -d 192.168.1.9 -p udp -m udp --dport 415 -j ACCEPT -A FORWARD -d 192.168.1.9 -p tcp -m tcp --dport 416 -j ACCEPT -A FORWARD -s 192.168.1.20 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 150 --connlimit-mask 32 -j DROP -A FORWARD -s 192.168.1.11 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 150 --connlimit-mask 32 -j DROP -A FORWARD -s 192.168.1.18 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 150 --connlimit-mask 32 -j DROP -A FORWARD -s 192.168.1.28 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 150 --connlimit-mask 32 -j DROP -A FORWARD -s 192.168.1.21 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 150 --connlimit-mask 32 -j DROP -A FORWARD -s 192.168.1.33 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 150 --connlimit-mask 32 -j DROP -A FORWARD -s 192.168.1.15 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 150 --connlimit-mask 32 -j DROP -A FORWARD -s 192.168.1.19 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 150 --connlimit-mask 32 -j DROP -A FORWARD -s 192.168.1.10 -p tcp -m connlimit --connlimit-above 150 -j DROP -A FORWARD -s 192.168.1.10 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 150 --connlimit-mask 32 -j DROP -A FORWARD -s 192.168.1.12 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 150 --connlimit-mask 32 -j DROP -A FORWARD -s 192.168.1.27 -p tcp -m connlimit --connlimit-above 150 -j DROP -A FORWARD -s 192.168.1.27 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 150 --connlimit-mask 32 -j DROP -A FORWARD -d 192.168.1.4 -p tcp -m tcp --dport 1550 -j ACCEPT -A FORWARD -d 192.168.1.4 -p udp -m udp --dport 410 -j ACCEPT -A FORWARD -d 192.168.1.4 -p tcp -m tcp --dport 410 -j ACCEPT -A FORWARD -d 192.168.1.15 -p udp -m udp --dport 420 -j ACCEPT -A FORWARD -d 192.168.1.15 -p tcp -m tcp --dport 420 -j ACCEPT -A FORWARD -o lo -j ACCEPT -A FORWARD -p tcp -m multiport --dports 135,445 -j DROP -A FORWARD -i ! eth0 -j ACCEPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -m ipp2p --ipp2p -j DROP -A mrtg_traffic -d 127.0.0.1 -j RETURN -A mrtg_traffic -s 127.0.0.1 -j RETURN -A mrtg_traffic -d 192.168.1.1 -j RETURN -A mrtg_traffic -s 192.168.1.1 -j RETURN -A mrtg_traffic -d 192.168.1.2 -j RETURN -A mrtg_traffic -s 192.168.1.2 -j RETURN -A mrtg_traffic -d 192.168.1.3 -j RETURN -A mrtg_traffic -s 192.168.1.3 -j RETURN -A mrtg_traffic -d 192.168.1.4 -j RETURN -A mrtg_traffic -s 192.168.1.4 -j RETURN -A mrtg_traffic -d 192.168.1.5 -j RETURN -A mrtg_traffic -s 192.168.1.5 -j RETURN -A mrtg_traffic -d 192.168.1.6 -j RETURN -A mrtg_traffic -s 192.168.1.6 -j RETURN -A mrtg_traffic -d 192.168.1.7 -j RETURN -A mrtg_traffic -s 192.168.1.7 -j RETURN -A mrtg_traffic -d 192.168.1.8 -j RETURN -A mrtg_traffic -s 192.168.1.8 -j RETURN -A mrtg_traffic -d 192.168.1.9 -j RETURN -A mrtg_traffic -s 192.168.1.9 -j RETURN -A mrtg_traffic -d 192.168.1.10 -j RETURN -A mrtg_traffic -s 192.168.1.10 -j RETURN -A mrtg_traffic -d 192.168.1.11 -j RETURN -A mrtg_traffic -s 192.168.1.11 -j RETURN -A mrtg_traffic -d 192.168.1.12 -j RETURN -A mrtg_traffic -s 192.168.1.12 -j RETURN -A mrtg_traffic -d 192.168.1.13 -j RETURN -A mrtg_traffic -s 192.168.1.13 -j RETURN -A mrtg_traffic -d 192.168.1.14 -j RETURN -A mrtg_traffic -s 192.168.1.14 -j RETURN -A mrtg_traffic -d 192.168.1.15 -j RETURN -A mrtg_traffic -s 192.168.1.15 -j RETURN -A mrtg_traffic -d 192.168.1.16 -j RETURN -A mrtg_traffic -s 192.168.1.16 -j RETURN -A mrtg_traffic -d 192.168.1.17 -j RETURN -A mrtg_traffic -s 192.168.1.17 -j RETURN -A mrtg_traffic -d 192.168.1.18 -j RETURN -A mrtg_traffic -s 192.168.1.18 -j RETURN -A mrtg_traffic -d 192.168.1.19 -j RETURN -A mrtg_traffic -s 192.168.1.19 -j RETURN -A mrtg_traffic -d 192.168.1.20 -j RETURN -A mrtg_traffic -s 192.168.1.20 -j RETURN -A mrtg_traffic -d 192.168.1.21 -j RETURN -A mrtg_traffic -s 192.168.1.21 -j RETURN -A mrtg_traffic -d 192.168.1.28 -j RETURN -A mrtg_traffic -s 192.168.1.28 -j RETURN -A mrtg_traffic -d 192.168.1.31 -j RETURN -A mrtg_traffic -s 192.168.1.31 -j RETURN -A mrtg_traffic -d 192.168.1.33 -j RETURN -A mrtg_traffic -s 192.168.1.33 -j RETURN -A mrtg_traffic -d 192.168.1.34 -j RETURN -A mrtg_traffic -s 192.168.1.34 -j RETURN COMMIT # Completed on Tue Aug 28 22:12:18 2007 # Generated by iptables-save v1.3.4 on Tue Aug 28 22:12:18 2007 *mangle :PREROUTING ACCEPT [1094849:810006406] :INPUT ACCEPT [27731:2895192] :FORWARD ACCEPT [1065810:806927013] :OUTPUT ACCEPT [29278:3937598] :POSTROUTING ACCEPT [1094218:809559706] :niceshaper_dl - [0:0] :niceshaper_ul - [0:0] -A PREROUTING -s 192.168.1.0/255.255.255.0 -i eth1 -j niceshaper_ul -A INPUT -d 83.15.102.147 -i eth0 -j niceshaper_dl -A OUTPUT -s 83.15.102.147 -o eth0 -j niceshaper_ul -A POSTROUTING -d 192.168.1.0/255.255.255.0 -o eth1 -j niceshaper_dl -A niceshaper_dl -s 192.168.1.1 -d 192.168.1.0/255.255.255.0 -o eth1 -j RETURN -A niceshaper_dl -s 83.15.102.147 -d 192.168.1.0/255.255.255.0 -o eth1 -j RETURN -A niceshaper_dl -A niceshaper_dl -d 83.15.102.147 -i eth0 -j RETURN -A niceshaper_dl -d 192.168.1.10 -o eth1 -j RETURN -A niceshaper_dl -d 192.168.1.12 -o eth1 -j RETURN -A niceshaper_dl -d 192.168.1.34 -o eth1 -j RETURN -A niceshaper_dl -d 192.168.1.11 -o eth1 -j RETURN -A niceshaper_dl -d 192.168.1.8 -o eth1 -j RETURN -A niceshaper_dl -d 192.168.1.20 -o eth1 -j RETURN -A niceshaper_dl -d 192.168.1.21 -o eth1 -j RETURN -A niceshaper_dl -d 192.168.1.9 -o eth1 -j RETURN -A niceshaper_dl -d 192.168.1.28 -o eth1 -j RETURN -A niceshaper_ul -s 192.168.1.0/255.255.255.0 -d 192.168.1.1 -i eth1 -j RETURN -A niceshaper_ul -s 192.168.1.0/255.255.255.0 -d 83.15.102.147 -i eth1 -j RETURN -A niceshaper_ul -A niceshaper_ul -s 83.15.102.147 -o eth0 -j MARK --set-mark 0x800 -A niceshaper_ul -s 192.168.1.10 -i eth1 -j MARK --set-mark 0x801 -A niceshaper_ul -s 192.168.1.12 -i eth1 -j MARK --set-mark 0x802 -A niceshaper_ul -s 192.168.1.34 -i eth1 -j MARK --set-mark 0x803 -A niceshaper_ul -s 192.168.1.11 -i eth1 -j MARK --set-mark 0x804 -A niceshaper_ul -s 192.168.1.8 -i eth1 -j MARK --set-mark 0x805 -A niceshaper_ul -s 192.168.1.20 -i eth1 -j MARK --set-mark 0x806 -A niceshaper_ul -s 192.168.1.21 -i eth1 -j MARK --set-mark 0x807 -A niceshaper_ul -s 192.168.1.9 -i eth1 -j MARK --set-mark 0x808 -A niceshaper_ul -s 192.168.1.28 -i eth1 -j MARK --set-mark 0x809 COMMIT # Completed on Tue Aug 28 22:12:18 2007 # Generated by iptables-save v1.3.4 on Tue Aug 28 22:12:18 2007 *nat :PREROUTING ACCEPT [30355:1964945] :POSTROUTING ACCEPT [4360:157037] :OUTPUT ACCEPT [4390:158919] -A PREROUTING -i eth0 -p tcp -m tcp --dport 410 -j DNAT --to-destination 192.168.1.4:410 -A PREROUTING -i eth0 -p udp -m udp --dport 410 -j DNAT --to-destination 192.168.1.4:410 -A PREROUTING -i eth0 -p tcp -m tcp --dport 1550 -j DNAT --to-destination 192.168.1.4:1550 -A PREROUTING -i eth0 -p udp -m udp --dport 412 -j DNAT --to-destination 192.168.1.200:412 -A PREROUTING -i eth0 -p tcp -m tcp --dport 412 -j DNAT --to-destination 192.168.1.200:412 -A PREROUTING -i eth0 -p tcp -m tcp --dport 415 -j DNAT --to-destination 192.168.1.9:415 -A PREROUTING -i eth0 -p udp -m udp --dport 416 -j DNAT --to-destination 192.168.1.9:416 -A PREROUTING -i eth0 -p tcp -m tcp --dport 420 -j DNAT --to-destination 192.168.1.15:420 -A PREROUTING -i eth0 -p udp -m udp --dport 420 -j DNAT --to-destination 192.168.1.15:420 -A POSTROUTING -o eth0 -j MASQUERADE COMMIT # Completed on Tue Aug 28 22:12:18 2007 Czy regułu connlimit są dobrze wstawione? Bo niestety ale np user 192.168.1.10 otwiera dalej ponad 300 połączeń dodatkowo czas zamykania połączeń ustawiłem echo 3600 >/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established Ale dalej lipa Sprawdzam jeszcze |
|
| Autor: | jaba [ wtorek, 16 grudnia 2008, 19:40 ] |
| Tytuł: | |
Jeśli chodzi o conntrack to po wprowadzanych zmianach chyba trzeba reboot. A jeśli chodzi o pakiety to tu http://forum.freesco.pl/viewtopic.php?t ... c&start=40 jest rozwiązanie które u mnie działa. pozdrawiam |
|
| Autor: | jacopp [ środa, 17 grudnia 2008, 08:21 ] |
| Tytuł: | |
jaba pisze: Jeśli chodzi o conntrack to po wprowadzanych zmianach chyba trzeba reboot.
A jeśli chodzi o pakiety to tu http://forum.freesco.pl/viewtopic.php?t ... c&start=40 jest rozwiązanie które u mnie działa. pozdrawiam Raczej na pewno nie trzeba robić reboot, bo po nim ponownie wraca do starych ustawień |
|
| Autor: | jaba [ środa, 17 grudnia 2008, 19:34 ] |
| Tytuł: | |
Kilka dni temu na jednym z serwerów dorobiłem wykresy w mrtg odnośnie ilości połączeń tcp i tcp established oraz ustawiłem domykanie established i nie restartowałem serwera. Stare połączenia wisiały kilka dni, przedwczoraj rebootnąłem serwer i teraz już ładnie wszystko się zamyka - w nocy praktycznie do zera. Wydaje mi się, że bez restartu domykają się tylko "nowe" połączenia nawiązane po wprowadzeniu domykania. Pewnie jest jakiś sposób żeby całego serwera nie restartować tylko może samą tablicę, ale niestety nie doczytałem się. ;( |
|
| Autor: | CyberDuck [ środa, 17 grudnia 2008, 20:29 ] |
| Tytuł: | |
A ja mam takie pytanie. W innym temacie jest poruszony problem zawieszania sie NND na wskutek przepelnienia pamieci. W momencie kiedy pamiec osiaga max swoich mozliwosci NND staje i wogole niereaguje. Nie pomaga restart, albo pomaga na krotki moment a z MRTG wynika, ze pamiec jest nadal pelna. Dopiero kompletne wylaczenie routera i ponowne wlaczenie daje pozadany resultat i pamiec wraca do swouch normalnych rozmiarow pod wzgledem zajetosci. Czy moze to miec zwiazek z wiszacymi polaczeniami ? |
|
| Autor: | jacopp [ środa, 17 grudnia 2008, 22:28 ] |
| Tytuł: | |
podmieniłem na nowe karty, wymieniłem switcha który jest przy serwerze jako pierwszy na 3Coma i narazie jest spokój, aha no i zablokowałem aresa ustawiłem też domykanie established na 3600 i jest OK (ustawiane w rc.local) oby tak dalej... |
|
| Strona 1 z 1 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|