Jump to content

Странная атака. Linux - Nat.

zlolotus
 Share

Recommended Posts

zlolotus

zlolotus

Posted
Posted

Доброго Дня Коллеги.

 

Стоит accel-ppp, тип подключения pppoe. Два интерфейса в бонде , in + out.

 

Вчера наблюдал такую картину. Внезапно пропал интернет у пользователей. В топ, нагрузка на двух ядрах в 100%.

 

В консоль вывылилось один раз такое "kernel: nf_conntrack: table full, dropping packet."

 

Как я понял, некто иницировал большое кол-во соед. И таблица переполнилась.

 

Ок хорошо, но почему тогда нагрузка на ядрах была 100%, а трафика было 100 кбит. На сервере где терминируется 400-500 абонентов.

 

Пока поменял, вот этот параметр. Стоит ли, еще что-то менять?

 

sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=54000

dazgluk

dazgluk

Posted
Posted

Доброго.

Да, стоит.

 

все conntrack таймауты. Поищите тут на форуме, люди выкладывали их значения.

у нас например вот так.

sysctl -w net.ipv4.netfilter.ip_conntrack_generic_timeout=60
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_sent=15
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_sent2=15
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv=30
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=900
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait=30
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait=20
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_last_ack=30
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait=30
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_close=10
sysctl -w net.ipv4.netfilter.ip_conntrack_udp_timeout=30
sysctl -w net.ipv4.netfilter.ip_conntrack_udp_timeout_stream=45
sysctl -w net.ipv4.netfilter.ip_conntrack_icmp_timeout=10

echo 33554432 > /sys/module/nf_conntrack/parameters/hashsize
echo 4194304 > /proc/sys/net/ipv4/netfilter/ip_conntrack_max
sysctl -w net.ipv4.netfilter.ip_conntrack_max=4194304
sysctl -w net.netfilter.nf_conntrack_max=4194304
sysctl -w net.nf_conntrack_max=4194304
echo 8388608 > /proc/sys/net/ipv4/route/max_size

  • 3 weeks later...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.