Freesco, NND, CDN, EOS • Wyświetl temat - Wiszące połączenia na nnd

Posty bez odpowiedzi | Aktywne tematy

Indeks witryny » NND » Instalacja i konfiguracja (NND)

Strefa czasowa UTC+2godz.

Wiszące połączenia na nnd

Moderatorzy: tasiorek, JakubC, Mis'

Strona 1 z 1

[ Posty: 12 ]

Podgląd wydruku

Poprzedni temat | Następny temat

Autor

Wiadomość

jacopp

Tytuł: Wiszące połączenia na nnd

: piątek, 28 marca 2008, 10:44

Użytkownik

Rejestracja: niedziela, 24 listopada 2002, 14:59
Posty: 116
Lokalizacja: Sosnowiec

Witam
W ostatnim czasie miałem drobne problemy z łączem które udostępniam przez serwer z NND. Przeczytałem kilka wątków na temat otwartych połączeń.
Dzisiaj w godzinach porannych (aktywne 2-3 kompy w sieci) chciałem sprawdzić jak wygląda sprawa u mnie.

: [/] [] ()

 cat /proc/net/ip_conntrack | grep -w "$x" | wc -l
5796

GeSHi © Codebox Plus

Czy to co podaje mi powyższe polecenie to wiszące połączenia ?

Idąc dalej sprawdziłem jeszcze przez poniższe polecenie:

: [/] [] ()

cat /proc/net/ip_conntrack |grep tcp | sed -n 's%.* src=\(192.168.[0-9.]*\).*%\1%p'| sort | uniq -c
    170 192.168.1.10
    183 192.168.1.12
    182 192.168.1.13
    181 192.168.1.14
    177 192.168.1.15
    190 192.168.1.16
    179 192.168.1.17
    187 192.168.1.18
    128 192.168.1.19
    179 192.168.1.2
    192 192.168.1.20
      2 192.168.1.200
    176 192.168.1.21
    187 192.168.1.22
    185 192.168.1.23
    188 192.168.1.24
    182 192.168.1.25
    177 192.168.1.26
    183 192.168.1.27
    178 192.168.1.28
    176 192.168.1.29
    163 192.168.1.3
    187 192.168.1.30
    183 192.168.1.31
    180 192.168.1.32
    186 192.168.1.33
    185 192.168.1.34
    157 192.168.1.4
    165 192.168.1.5
    167 192.168.1.6
    191 192.168.1.7
    186 192.168.1.8
      1 192.168.1.80
    181 192.168.1.9

GeSHi © Codebox Plus

Czy to co podają mi powyższe polecenia to normalne ? Jeśli nie to co zrobić aby spowodować zamykanie tych połączeń po pewnym, określonym czasie ?

_________________
DialoG 6Mbit/s ,PII366Mhz , 218MB Ram, 40GB - NND - 20 userów

Na górę

qrak

Tytuł:

: piątek, 28 marca 2008, 13:40

Użytkownik

Rejestracja: poniedziałek, 21 marca 2005, 14:25
Posty: 225
Lokalizacja: Wrocław

Zainteresuj się skryptem clr_conns.

_________________
to co się daje za darmo, inni traktują jako nic niewarte

NND current @ COMPAQ Deskpro EN Series SFF 6350 | 64 MB RAM | 80 GB HDD | DSL 1000

Na górę

zciech

Tytuł:

: piątek, 28 marca 2008, 14:33

PGF

Rejestracja: niedziela, 14 lipca 2002, 14:33
Posty: 3234
Lokalizacja: Radziejów

echo 14400 >/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

Na górę

-MW-

Tytuł:

: piątek, 28 marca 2008, 16:50

Użytkownik

Rejestracja: sobota, 14 maja 2005, 15:07
Posty: 3177
Lokalizacja: Busko-Zdrój

http://wiki.nnd-linux.pl/index.php/Optymalizacja_NND

_________________
Pomógł? wypij jego zdrowie.
http://nnd-linux.pl/faq.php
http://wiki.nnd.freesco.pl/index.php/FAQ

Na górę

jacopp

Tytuł:

: piątek, 28 marca 2008, 21:37

Użytkownik

Rejestracja: niedziela, 24 listopada 2002, 14:59
Posty: 116
Lokalizacja: Sosnowiec

Cytuj:

echo 14400 >/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established

Ok ale gdzie to wpisac zeby na stałe było bo po resecie wraca do staregej wartości (o zgrozo 432000)

_________________
DialoG 6Mbit/s ,PII366Mhz , 218MB Ram, 40GB - NND - 20 userów

Na górę

realisty

Tytuł:

: piątek, 28 marca 2008, 22:20

Użytkownik

Rejestracja: niedziela, 8 kwietnia 2007, 15:17
Posty: 383

mozesz do rc.local wpisac te linijke

_________________
Jeśli post okazał się pomocny kliknij Pomógł
GG: 9822296

Multimo 2Mb

Na górę

jacopp

Tytuł:

: wtorek, 16 grudnia 2008, 10:32

Użytkownik

Rejestracja: niedziela, 24 listopada 2002, 14:59
Posty: 116
Lokalizacja: Sosnowiec

witam
chciałbym odświeżyć temat ponieważ ponownie mam problem z wiszącymi połączeniami
jeden z użytkowników sieci używa Bitcometa, otwiera sporo połączeń, próbowałem dopisać reguły connlimit do iptables.rules

: [/] [] ()

# Generated by iptables-save v1.3.4 on Tue Aug 28 22:12:18 2007
*filter
:INPUT DROP [716:169208]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [23897:3090900]
:mrtg_traffic - [0:0]
-A INPUT -i lo -j ACCEPT 
-A INPUT -p tcp -m multiport --dports 135,445 -j DROP 
-A INPUT -p tcp -m tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable 
-A INPUT -p tcp -m tcp --dport 1080 -j REJECT --reject-with icmp-port-unreachable 
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT 
-A INPUT -i eth0 -p tcp -m tcp --dport 50 -j ACCEPT 
-A INPUT -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT 
-A INPUT -i eth0 -p tcp -m tcp --dport 3389 -j ACCEPT 
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT 
-A INPUT -i ! eth0 -j ACCEPT 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -j mrtg_traffic 
-A FORWARD -m ipp2p --soul -j DROP 
-A FORWARD -m ipp2p --winmx -j DROP 
-A FORWARD -m ipp2p --apple -j DROP 
-A FORWARD -m ipp2p --gnu -j DROP 
-A FORWARD -m ipp2p --kazaa -j DROP 
-A FORWARD -d 192.168.1.9 -p udp -m udp --dport 415 -j ACCEPT 
-A FORWARD -d 192.168.1.9 -p tcp -m tcp --dport 416 -j ACCEPT 
-A FORWARD -s 192.168.1.20 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 150 --connlimit-mask 32 -j DROP 
-A FORWARD -s 192.168.1.11 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 150 --connlimit-mask 32 -j DROP 
-A FORWARD -s 192.168.1.18 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 150 --connlimit-mask 32 -j DROP 
-A FORWARD -s 192.168.1.28 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 150 --connlimit-mask 32 -j DROP 
-A FORWARD -s 192.168.1.21 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 150 --connlimit-mask 32 -j DROP
-A FORWARD -s 192.168.1.33 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 150 --connlimit-mask 32 -j DROP
-A FORWARD -s 192.168.1.15 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 150 --connlimit-mask 32 -j DROP
-A FORWARD -s 192.168.1.19 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 150 --connlimit-mask 32 -j DROP
-A FORWARD -s 192.168.1.10 -p tcp -m connlimit --connlimit-above 150 -j DROP
-A FORWARD -s 192.168.1.10 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 150 --connlimit-mask 32 -j DROP
-A FORWARD -s 192.168.1.12 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 150 --connlimit-mask 32 -j DROP
-A FORWARD -s 192.168.1.27 -p tcp -m connlimit --connlimit-above 150 -j DROP
-A FORWARD -s 192.168.1.27 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 150 --connlimit-mask 32 -j DROP
-A FORWARD -d 192.168.1.4 -p tcp -m tcp --dport 1550 -j ACCEPT 
-A FORWARD -d 192.168.1.4 -p udp -m udp --dport 410 -j ACCEPT 
-A FORWARD -d 192.168.1.4 -p tcp -m tcp --dport 410 -j ACCEPT
-A FORWARD -d 192.168.1.15 -p udp -m udp --dport 420 -j ACCEPT 
-A FORWARD -d 192.168.1.15 -p tcp -m tcp --dport 420 -j ACCEPT 
-A FORWARD -o lo -j ACCEPT 
-A FORWARD -p tcp -m multiport --dports 135,445 -j DROP 
-A FORWARD -i ! eth0 -j ACCEPT 
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -m ipp2p --ipp2p -j DROP 
-A mrtg_traffic -d 127.0.0.1 -j RETURN 
-A mrtg_traffic -s 127.0.0.1 -j RETURN 
-A mrtg_traffic -d 192.168.1.1 -j RETURN 
-A mrtg_traffic -s 192.168.1.1 -j RETURN 
-A mrtg_traffic -d 192.168.1.2 -j RETURN 
-A mrtg_traffic -s 192.168.1.2 -j RETURN 
-A mrtg_traffic -d 192.168.1.3 -j RETURN 
-A mrtg_traffic -s 192.168.1.3 -j RETURN 
-A mrtg_traffic -d 192.168.1.4 -j RETURN 
-A mrtg_traffic -s 192.168.1.4 -j RETURN 
-A mrtg_traffic -d 192.168.1.5 -j RETURN 
-A mrtg_traffic -s 192.168.1.5 -j RETURN 
-A mrtg_traffic -d 192.168.1.6 -j RETURN 
-A mrtg_traffic -s 192.168.1.6 -j RETURN 
-A mrtg_traffic -d 192.168.1.7 -j RETURN 
-A mrtg_traffic -s 192.168.1.7 -j RETURN 
-A mrtg_traffic -d 192.168.1.8 -j RETURN 
-A mrtg_traffic -s 192.168.1.8 -j RETURN 
-A mrtg_traffic -d 192.168.1.9 -j RETURN 
-A mrtg_traffic -s 192.168.1.9 -j RETURN 
-A mrtg_traffic -d 192.168.1.10 -j RETURN 
-A mrtg_traffic -s 192.168.1.10 -j RETURN 
-A mrtg_traffic -d 192.168.1.11 -j RETURN 
-A mrtg_traffic -s 192.168.1.11 -j RETURN 
-A mrtg_traffic -d 192.168.1.12 -j RETURN 
-A mrtg_traffic -s 192.168.1.12 -j RETURN 
-A mrtg_traffic -d 192.168.1.13 -j RETURN 
-A mrtg_traffic -s 192.168.1.13 -j RETURN 
-A mrtg_traffic -d 192.168.1.14 -j RETURN 
-A mrtg_traffic -s 192.168.1.14 -j RETURN 
-A mrtg_traffic -d 192.168.1.15 -j RETURN 
-A mrtg_traffic -s 192.168.1.15 -j RETURN 
-A mrtg_traffic -d 192.168.1.16 -j RETURN 
-A mrtg_traffic -s 192.168.1.16 -j RETURN 
-A mrtg_traffic -d 192.168.1.17 -j RETURN 
-A mrtg_traffic -s 192.168.1.17 -j RETURN 
-A mrtg_traffic -d 192.168.1.18 -j RETURN 
-A mrtg_traffic -s 192.168.1.18 -j RETURN 
-A mrtg_traffic -d 192.168.1.19 -j RETURN 
-A mrtg_traffic -s 192.168.1.19 -j RETURN 
-A mrtg_traffic -d 192.168.1.20 -j RETURN 
-A mrtg_traffic -s 192.168.1.20 -j RETURN 
-A mrtg_traffic -d 192.168.1.21 -j RETURN 
-A mrtg_traffic -s 192.168.1.21 -j RETURN 
-A mrtg_traffic -d 192.168.1.28 -j RETURN 
-A mrtg_traffic -s 192.168.1.28 -j RETURN 
-A mrtg_traffic -d 192.168.1.31 -j RETURN 
-A mrtg_traffic -s 192.168.1.31 -j RETURN 
-A mrtg_traffic -d 192.168.1.33 -j RETURN 
-A mrtg_traffic -s 192.168.1.33 -j RETURN 
-A mrtg_traffic -d 192.168.1.34 -j RETURN 
-A mrtg_traffic -s 192.168.1.34 -j RETURN 
COMMIT
# Completed on Tue Aug 28 22:12:18 2007
# Generated by iptables-save v1.3.4 on Tue Aug 28 22:12:18 2007
*mangle
:PREROUTING ACCEPT [1094849:810006406]
:INPUT ACCEPT [27731:2895192]
:FORWARD ACCEPT [1065810:806927013]
:OUTPUT ACCEPT [29278:3937598]
:POSTROUTING ACCEPT [1094218:809559706]
:niceshaper_dl - [0:0]
:niceshaper_ul - [0:0]
-A PREROUTING -s 192.168.1.0/255.255.255.0 -i eth1 -j niceshaper_ul 
-A INPUT -d 83.15.102.147 -i eth0 -j niceshaper_dl 
-A OUTPUT -s 83.15.102.147 -o eth0 -j niceshaper_ul 
-A POSTROUTING -d 192.168.1.0/255.255.255.0 -o eth1 -j niceshaper_dl 
-A niceshaper_dl -s 192.168.1.1 -d 192.168.1.0/255.255.255.0 -o eth1 -j RETURN 
-A niceshaper_dl -s 83.15.102.147 -d 192.168.1.0/255.255.255.0 -o eth1 -j RETURN 
-A niceshaper_dl 
-A niceshaper_dl -d 83.15.102.147 -i eth0 -j RETURN 
-A niceshaper_dl -d 192.168.1.10 -o eth1 -j RETURN 
-A niceshaper_dl -d 192.168.1.12 -o eth1 -j RETURN 
-A niceshaper_dl -d 192.168.1.34 -o eth1 -j RETURN 
-A niceshaper_dl -d 192.168.1.11 -o eth1 -j RETURN 
-A niceshaper_dl -d 192.168.1.8 -o eth1 -j RETURN 
-A niceshaper_dl -d 192.168.1.20 -o eth1 -j RETURN 
-A niceshaper_dl -d 192.168.1.21 -o eth1 -j RETURN 
-A niceshaper_dl -d 192.168.1.9 -o eth1 -j RETURN 
-A niceshaper_dl -d 192.168.1.28 -o eth1 -j RETURN 
-A niceshaper_ul -s 192.168.1.0/255.255.255.0 -d 192.168.1.1 -i eth1 -j RETURN 
-A niceshaper_ul -s 192.168.1.0/255.255.255.0 -d 83.15.102.147 -i eth1 -j RETURN 
-A niceshaper_ul 
-A niceshaper_ul -s 83.15.102.147 -o eth0 -j MARK --set-mark 0x800 
-A niceshaper_ul -s 192.168.1.10 -i eth1 -j MARK --set-mark 0x801 
-A niceshaper_ul -s 192.168.1.12 -i eth1 -j MARK --set-mark 0x802 
-A niceshaper_ul -s 192.168.1.34 -i eth1 -j MARK --set-mark 0x803 
-A niceshaper_ul -s 192.168.1.11 -i eth1 -j MARK --set-mark 0x804 
-A niceshaper_ul -s 192.168.1.8 -i eth1 -j MARK --set-mark 0x805 
-A niceshaper_ul -s 192.168.1.20 -i eth1 -j MARK --set-mark 0x806 
-A niceshaper_ul -s 192.168.1.21 -i eth1 -j MARK --set-mark 0x807 
-A niceshaper_ul -s 192.168.1.9 -i eth1 -j MARK --set-mark 0x808 
-A niceshaper_ul -s 192.168.1.28 -i eth1 -j MARK --set-mark 0x809 
COMMIT
# Completed on Tue Aug 28 22:12:18 2007
# Generated by iptables-save v1.3.4 on Tue Aug 28 22:12:18 2007
*nat
:PREROUTING ACCEPT [30355:1964945]
:POSTROUTING ACCEPT [4360:157037]
:OUTPUT ACCEPT [4390:158919]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 410 -j DNAT --to-destination 192.168.1.4:410 
-A PREROUTING -i eth0 -p udp -m udp --dport 410 -j DNAT --to-destination 192.168.1.4:410 
-A PREROUTING -i eth0 -p tcp -m tcp --dport 1550 -j DNAT --to-destination 192.168.1.4:1550 
-A PREROUTING -i eth0 -p udp -m udp --dport 412 -j DNAT --to-destination 192.168.1.200:412 
-A PREROUTING -i eth0 -p tcp -m tcp --dport 412 -j DNAT --to-destination 192.168.1.200:412 
-A PREROUTING -i eth0 -p tcp -m tcp --dport 415 -j DNAT --to-destination 192.168.1.9:415 
-A PREROUTING -i eth0 -p udp -m udp --dport 416 -j DNAT --to-destination 192.168.1.9:416
-A PREROUTING -i eth0 -p tcp -m tcp --dport 420 -j DNAT --to-destination 192.168.1.15:420
-A PREROUTING -i eth0 -p udp -m udp --dport 420 -j DNAT --to-destination 192.168.1.15:420 
-A POSTROUTING -o eth0 -j MASQUERADE 
COMMIT
# Completed on Tue Aug 28 22:12:18 2007 

GeSHi © Codebox Plus

Czy regułu connlimit są dobrze wstawione?
Bo niestety ale np user 192.168.1.10 otwiera dalej ponad 300 połączeń

dodatkowo czas zamykania połączeń ustawiłem
echo 3600 >/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established

Ale dalej lipa

Sprawdzam jeszcze

: [/] [] ()

cat /proc/net/ip_conntrack | grep ESTABLISHED | wc -l
3784

GeSHi © Codebox Plus

_________________
DialoG 6Mbit/s ,PII366Mhz , 218MB Ram, 40GB - NND - 20 userów

Na górę

jaba

Tytuł:

: wtorek, 16 grudnia 2008, 19:40

Użytkownik

Rejestracja: poniedziałek, 18 kwietnia 2005, 22:00
Posty: 112
Lokalizacja: Hrubek

Jeśli chodzi o conntrack to po wprowadzanych zmianach chyba trzeba reboot.

A jeśli chodzi o pakiety to tu http://forum.freesco.pl/viewtopic.php?t ... c&start=40 jest rozwiązanie które u mnie działa.

pozdrawiam

Na górę

jacopp

Tytuł:

: środa, 17 grudnia 2008, 08:21

Użytkownik

Rejestracja: niedziela, 24 listopada 2002, 14:59
Posty: 116
Lokalizacja: Sosnowiec

jaba pisze:

Raczej na pewno nie trzeba robić reboot, bo po nim ponownie wraca do starych ustawień

_________________
DialoG 6Mbit/s ,PII366Mhz , 218MB Ram, 40GB - NND - 20 userów

Na górę

jaba

Tytuł:

: środa, 17 grudnia 2008, 19:34

Użytkownik

Rejestracja: poniedziałek, 18 kwietnia 2005, 22:00
Posty: 112
Lokalizacja: Hrubek

Kilka dni temu na jednym z serwerów dorobiłem wykresy w mrtg odnośnie ilości połączeń tcp i tcp established oraz ustawiłem domykanie established i nie restartowałem serwera. Stare połączenia wisiały kilka dni, przedwczoraj rebootnąłem serwer i teraz już ładnie wszystko się zamyka - w nocy praktycznie do zera.
Wydaje mi się, że bez restartu domykają się tylko "nowe" połączenia nawiązane po wprowadzeniu domykania.

Pewnie jest jakiś sposób żeby całego serwera nie restartować tylko może samą tablicę, ale niestety nie doczytałem się. ;(

Na górę

CyberDuck

Tytuł:

: środa, 17 grudnia 2008, 20:29

Użytkownik

Rejestracja: środa, 23 stycznia 2008, 17:32
Posty: 691
Lokalizacja: Pabianice

A ja mam takie pytanie.
W innym temacie jest poruszony problem zawieszania sie NND na wskutek przepelnienia
pamieci. W momencie kiedy pamiec osiaga max swoich mozliwosci NND staje i wogole niereaguje.
Nie pomaga restart, albo pomaga na krotki moment a z MRTG wynika, ze pamiec jest nadal pelna.
Dopiero kompletne wylaczenie routera i ponowne wlaczenie daje pozadany resultat i pamiec
wraca do swouch normalnych rozmiarow pod wzgledem zajetosci.
Czy moze to miec zwiazek z wiszacymi polaczeniami ?

Na górę

jacopp

Tytuł:

: środa, 17 grudnia 2008, 22:28

Użytkownik

Rejestracja: niedziela, 24 listopada 2002, 14:59
Posty: 116
Lokalizacja: Sosnowiec

podmieniłem na nowe karty, wymieniłem switcha który jest przy serwerze jako pierwszy na 3Coma
i narazie jest spokój, aha no i zablokowałem aresa
ustawiłem też domykanie established na 3600 i jest OK
(ustawiane w rc.local) oby tak dalej...

_________________
DialoG 6Mbit/s ,PII366Mhz , 218MB Ram, 40GB - NND - 20 userów

Na górę

Strona 1 z 1

[ Posty: 12 ]

Indeks witryny » NND » Instalacja i konfiguracja (NND)

Strefa czasowa UTC+2godz.

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 15 gości

Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników