kvirtu 315 Опубликовано: 2011-01-13 09:34:48 Share Опубликовано: 2011-01-13 09:34:48 Всем привет ! Помогите разобраться с переменной net.inet.icmp.icmplim , какое оптимальное значение должно быть ??? при 200 , временами линк отваливается. От DDOS-атак вроде защитился: net.inet.tcp.blackhole=2 net.inet.udp.blackhole=1 net.inet.icmp.drop_redirect=1 net.inet.icmp.maskrepl=0 net.inet.icmp.icmplim=200 net.icmp.bmcastecho=0 kern.ipc.somaxconn=1024 или это просто активность юзверов ??? вот куски из логов: Limiting icmp unreach response from 389 to 200 packets/sec Limiting icmp unreach response from 260 to 200 packets/sec Limiting icmp unreach response from 217 to 200 packets/sec Limiting icmp unreach response from 275 to 200 packets/sec Limiting icmp unreach response from 242 to 200 packets/sec Limiting icmp unreach response from 217 to 200 packets/sec Limiting icmp unreach response from 226 to 200 packets/sec Ссылка на сообщение Поделиться на других сайтах
adeep 212 Опубліковано: 2011-01-13 10:00:31 Share Опубліковано: 2011-01-13 10:00:31 это просто активность. поставьте хотя бы тысячу. а линк отваливается явно не от пингов. Ссылка на сообщение Поделиться на других сайтах
natiss 16 Опубліковано: 2011-01-13 10:31:56 Share Опубліковано: 2011-01-13 10:31:56 Всем привет ! Помогите разобраться с переменной net.inet.icmp.icmplim , какое оптимальное значение должно быть ??? при 200 , временами линк отваливается. От DDOS-атак вроде защитился: net.inet.tcp.blackhole=2 net.inet.udp.blackhole=1 net.inet.icmp.drop_redirect=1 net.inet.icmp.maskrepl=0 net.inet.icmp.icmplim=200 net.icmp.bmcastecho=0 kern.ipc.somaxconn=1024 или это просто активность юзверов ??? вот куски из логов: Limiting icmp unreach response from 389 to 200 packets/sec Limiting icmp unreach response from 260 to 200 packets/sec Limiting icmp unreach response from 217 to 200 packets/sec Limiting icmp unreach response from 275 to 200 packets/sec Limiting icmp unreach response from 242 to 200 packets/sec Limiting icmp unreach response from 217 to 200 packets/sec Limiting icmp unreach response from 226 to 200 packets/sec А можно и 100 поставить. Ничего не изменится. Ссылка на сообщение Поделиться на других сайтах
adeep 212 Опубліковано: 2011-01-13 10:36:44 Share Опубліковано: 2011-01-13 10:36:44 А можно и 100 поставить. Ничего не изменится. Изменится - сервер будет меньше отвечать на пинги и больше срать в логи Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2011-01-13 10:39:36 Автор Share Опубліковано: 2011-01-13 10:39:36 А можно и 100 поставить. Ничего не изменится. Изменится - сервер будет меньше отвечать на пинги и больше срать в логи Так точно, пробывал 100 - через 5-7 минут, линк уже лежал. Почти везде на форумах, советуют 100 ??? Щас поставил 500, думаю хватит. Ссылка на сообщение Поделиться на других сайтах
adeep 212 Опубліковано: 2011-01-13 11:27:48 Share Опубліковано: 2011-01-13 11:27:48 я так понимаю для вас "линк лежал" - это не отвечал на пинги? Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2011-01-13 11:30:11 Автор Share Опубліковано: 2011-01-13 11:30:11 я так понимаю для вас "линк лежал" - это не отвечал на пинги? Траффик не бегал вообще. Ссылка на сообщение Поделиться на других сайтах
natiss 16 Опубліковано: 2011-01-13 11:37:39 Share Опубліковано: 2011-01-13 11:37:39 Траффик не бегал вообще. А какая сетевая, какая система? Ссылка на сообщение Поделиться на других сайтах
natiss 16 Опубліковано: 2011-01-13 11:39:55 Share Опубліковано: 2011-01-13 11:39:55 А можно и 100 поставить. Ничего не изменится. Изменится - сервер будет меньше отвечать на пинги и больше срать в логи Ну а на возможности маршрутизации это как-то скажется? В Cisco сколько ограничение стоит? Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2011-01-13 11:50:19 Автор Share Опубліковано: 2011-01-13 11:50:19 Траффик не бегал вообще. А какая сетевая, какая система? Intel DeskTop Pro 10/100 , FreeBSD 7.2 Ссылка на сообщение Поделиться на других сайтах
natiss 16 Опубліковано: 2011-01-13 11:59:14 Share Опубліковано: 2011-01-13 11:59:14 А polling часом не включен? Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2011-01-13 12:23:24 Автор Share Опубліковано: 2011-01-13 12:23:24 А polling часом не включен? Включен в ядре ... Ссылка на сообщение Поделиться на других сайтах
natiss 16 Опубліковано: 2011-01-13 12:26:59 Share Опубліковано: 2011-01-13 12:26:59 А вот это не есть правильно. Выключите для fxp. Он там не нужен. ifconfig fxp0(N) -polling это раз. Потом, после чего такое началось - просто так ничего не бывает, вспомните, что перед этим менялось. Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2011-01-13 12:31:08 Автор Share Опубліковано: 2011-01-13 12:31:08 А вот это не есть правильно. Выключите для fxp. Он там не нужен. ifconfig fxp0(N) -polling это раз. Потом, после чего такое началось - просто так ничего не бывает, вспомните, что перед этим менялось. Полинг помогает при повышенных нагрузках, Зачем его отключать ??? в системе ничего не менялось Ссылка на сообщение Поделиться на других сайтах
adeep 212 Опубліковано: 2011-01-13 14:02:50 Share Опубліковано: 2011-01-13 14:02:50 ifconfig fxp0 link0 пробовали? Ссылка на сообщение Поделиться на других сайтах
natiss 16 Опубліковано: 2011-01-13 14:39:21 Share Опубліковано: 2011-01-13 14:39:21 Полинг помогает при повышенных нагрузках, Зачем его отключать ??? в системе ничего не менялось Как он помогает? Отбрасывает "лишние" пакеты, т.е. те, с которыми процессор не успевает справится. Вы смотрели реальную картину - загрузка процессора/число прерываний/pps в различных режимах? ifconfig fxp0 link0 А в десктопном адаптере то microcode есть? Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2011-01-13 16:09:54 Автор Share Опубліковано: 2011-01-13 16:09:54 ifconfig fxp0 link0 пробовали? Что это за команда ? Ссылка на сообщение Поделиться на других сайтах
ESP 7 Опубліковано: 2011-01-13 18:35:10 Share Опубліковано: 2011-01-13 18:35:10 То что сыпится в логах - вредоносная активность (вирусы/трояны) на клиентских хостах. То что сервер с такими симптомами сервер не отвечает на icmp не означет что трафик через него не ходит. Трафик ходит и ситуация с лимитами никоим образом не влияет на это. Проще всего в этой ситуации - зафильтровать icmp на шлюзе. Про поллинг. Объясните мне, зачем советовать включать топикстартеру поллинг, при это не имея никаких исходных даных? Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2011-01-13 19:31:49 Автор Share Опубліковано: 2011-01-13 19:31:49 То что сыпится в логах - вредоносная активность (вирусы/трояны) на клиентских хостах. То что сервер с такими симптомами сервер не отвечает на icmp не означет что трафик через него не ходит. Трафик ходит и ситуация с лимитами никоим образом не влияет на это. Проще всего в этой ситуации - зафильтровать icmp на шлюзе. Про поллинг. Объясните мне, зачем советовать включать топикстартеру поллинг, при это не имея никаких исходных даных? Это точно не клиентская активность, т.к. "подвисающий" интерфейс смотрит в мир. Ссылка на сообщение Поделиться на других сайтах
natiss 16 Опубліковано: 2011-01-13 21:57:31 Share Опубліковано: 2011-01-13 21:57:31 То что сыпится в логах - вредоносная активность (вирусы/трояны) на клиентских хостах. То что сервер с такими симптомами сервер не отвечает на icmp не означет что трафик через него не ходит. Трафик ходит и ситуация с лимитами никоим образом не влияет на это. Проще всего в этой ситуации - зафильтровать icmp на шлюзе. Про поллинг. Объясните мне, зачем советовать включать топикстартеру поллинг, при это не имея никаких исходных даных? Потому, что для алаптеров intel poling не дает того эффекта, как, скажем, для realtek. Внешний интерфейс неплохо бы было мониторить nertflow или tcpdump-ом. Раз такое дело. ставим свич, настраиваем мирррор на другую машину и там анализируем. Что это за команда ? man fxp посмотрите ж The fxp driver also supports a special link option: link0 Some chip revisions have loadable microcode which can be used to reduce the interrupt load on the host cpu. Not all boards have microcode support. Setting the link0 flag with ifconfig(8) will download the microcode to the chip if it is available. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас