zlolotus Опубликовано 16 апреля, 2016 · Жалоба Доброго Дня Коллеги. Стоит accel-ppp, тип подключения pppoe. Два интерфейса в бонде , in + out. Вчера наблюдал такую картину. Внезапно пропал интернет у пользователей. В топ, нагрузка на двух ядрах в 100%. В консоль вывылилось один раз такое "kernel: nf_conntrack: table full, dropping packet." Как я понял, некто иницировал большое кол-во соед. И таблица переполнилась. Ок хорошо, но почему тогда нагрузка на ядрах была 100%, а трафика было 100 кбит. На сервере где терминируется 400-500 абонентов. Пока поменял, вот этот параметр. Стоит ли, еще что-то менять? sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=54000 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dazgluk Опубликовано 16 апреля, 2016 · Жалоба Доброго. Да, стоит. все conntrack таймауты. Поищите тут на форуме, люди выкладывали их значения. у нас например вот так. sysctl -w net.ipv4.netfilter.ip_conntrack_generic_timeout=60 sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_sent=15 sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_sent2=15 sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv=30 sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=900 sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait=30 sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait=20 sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_last_ack=30 sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait=30 sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_close=10 sysctl -w net.ipv4.netfilter.ip_conntrack_udp_timeout=30 sysctl -w net.ipv4.netfilter.ip_conntrack_udp_timeout_stream=45 sysctl -w net.ipv4.netfilter.ip_conntrack_icmp_timeout=10 echo 33554432 > /sys/module/nf_conntrack/parameters/hashsize echo 4194304 > /proc/sys/net/ipv4/netfilter/ip_conntrack_max sysctl -w net.ipv4.netfilter.ip_conntrack_max=4194304 sysctl -w net.netfilter.nf_conntrack_max=4194304 sysctl -w net.nf_conntrack_max=4194304 echo 8388608 > /proc/sys/net/ipv4/route/max_size Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 16 апреля, 2016 · Жалоба Стоит ли, еще что-то менять? Стоит, увеличьте параметр conntrack_max Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zlolotus Опубликовано 7 мая, 2016 · Жалоба Коллеги подскажите, а как защищаться о Syn Flood ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 7 мая, 2016 · Жалоба syncookies? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...