x-rayd Опубликовано 26 сентября, 2020 · Жалоба Имеем сервер на котором 1200 PPPoE активных соединений. Трафик около 1 Гбит и 100.000 п/с. Вопрос что касается Connection Tracking и TCP Established Timeout на данный момент стоит 1 час, будет ли целесообразно уменьшить это значение чтобы снять нагрузку? Также там есть настройка Loose TCP Tracking и стоит галочка, есть смысл ее убрать? Проблема в том что нагрузка на CPU всего 5-10 % но есть ощущение что интернет под вечер подлагивает. Как бы с задержкой работает. CPU Intel-7 3.7Ггц 12 ядер. Сетевая карта Intel 82576 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Jora_1 Опубликовано 26 сентября, 2020 (изменено) · Жалоба днс на нём? И шейпер какой? Может просто днс кэш забивается или очередь не успевает отрабатывать. Изменено 26 сентября, 2020 пользователем jora_1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
x-rayd Опубликовано 26 сентября, 2020 · Жалоба ДНС стоит на отдельном сервере. У Bind может заполнится очередь? Используем шейпер Simple Queues Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 26 сентября, 2020 · Жалоба 7 часов назад, x-rayd сказал: но есть ощущение что интернет под вечер подлагивает. Как бы с задержкой работает. А на портах в статистике нет в эти моменты аномалий? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 27 сентября, 2020 · Жалоба В 26.09.2020 в 15:05, x-rayd сказал: Connection Tracking и TCP Established Timeout на данный момент стоит 1 час, будет ли целесообразно уменьшить это значение чтобы снять нагрузку? Поставьте 5 минут. Вы уже посмотрели на вариант, что если используете НАТ на один белый адрес приходится слишком много абонентов и у него просто свободные порты заканчиваются? В 26.09.2020 в 15:05, x-rayd сказал: CPU Intel-7 3.7Ггц 12 ядер. Гипертрединг отключить надо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
x-rayd Опубликовано 27 сентября, 2020 · Жалоба 1 час назад, Saab95 сказал: Гипертрединг отключить надо. Можно больше информации почему? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 27 сентября, 2020 · Жалоба 2 часа назад, x-rayd сказал: Можно больше информации почему? Потому что роутер занимается роутингом, и практически все операции представляют собой взять данные с внешней шины и туда же их потом отправить. Гипертрединг предназначен для того, что бы выполнять операции на части схем ядра процессора, которые не используются в данный момент. А схемы ввода - вывода это не разделяемые ресурсы и 2 ядра как бы используют одну, и когда приходят операции по приему данных с сетевых адаптеров (по распределенным прерываниям), основное или логическое ядро простаивает. Поэтому при использовании гипертрединга складывается не верное определение нагрузки, т.к. ядро как бы используется на 10-15 процентов, а на самом деле больше, т.к. простои, как и снижение частоты и прочие процессорные тормоза, в определении процентов загрузки не участвуют. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
x-rayd Опубликовано 28 сентября, 2020 · Жалоба 15 часов назад, Saab95 сказал: Поставьте 5 минут. Это реально снизит нагрузку? Что дает такое маленькое значение? Также там есть настройка Loose TCP Tracking и стоит галочка, есть смысл ее убрать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 28 сентября, 2020 · Жалоба Нет пусть стоит. Если соединение активно, то через него передаются данные. Если данные не передаются более 5 минут, разве это соединение активно? Оно должно по таймауту отвалиться. При изменении настроек они применяются не сразу - старые соединения так и будут висеть, пока не пройдет их время активности, так что результат нужно смотреть после перезагрузки оборудования, или когда все соединения с большими таймаутами пропадут из таблицы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 28 сентября, 2020 · Жалоба 3 часа назад, x-rayd сказал: Что дает такое маленькое значение? клиенты, юзающие ssh туннели или rdp, будут в диком восторге например, и быстро сменят такого недопровайдера на кого-то с более прямыми руками. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 28 сентября, 2020 · Жалоба 5 минут назад, NiTr0 сказал: клиенты, юзающие ssh туннели или rdp, будут в диком восторге например, и быстро сменят такого недопровайдера на кого-то с более прямыми руками. Неправда. Таймауты это именно таймауты, пока там хоть 1 пакет пробегает за 5 минут соединение не оборвется. SSH полностью неактивный через 5 минут умрет, но это не самый популярный кейс для домашних абонентов. Когда нас ДДОСили мне приходилось ставить значения порядка 1 минуты(!!!) дабы сервера не ложились полностью. И ни одного звонка за месяц с претензиями не получили ни от игроков, ни от "админов". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
x-rayd Опубликовано 28 сентября, 2020 · Жалоба понял, спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 28 сентября, 2020 · Жалоба 59 минут назад, kayot сказал: Таймауты это именно таймауты, пока там хоть 1 пакет пробегает за 5 минут соединение не оборвется. в том-то и дело что по неактивному ssh туннелю, который висит, пакеты не бегают. и, думается, rdp аналогично. 1 час назад, kayot сказал: Когда нас ДДОСили мне приходилось ставить значения порядка 1 минуты(!!!) дабы сервера не ложились полностью. ддосили tcp established коннектами?... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 28 сентября, 2020 · Жалоба @NiTr0 Сложно сказать чем и что атаковали, раз в час-два росла таблица отслеживания на НАТ серверах вплоть до окукливания сервера. Уменьшение таймеров помогло, еще пару недель были всплески размера таблиц но в пределах разумного и без последствий. С тех пор больше года тишина и покой, стоит цифра порядка 10 минут. Мы по-моему этот вопрос и на локале обсуждали. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 29 сентября, 2020 · Жалоба 20 часов назад, NiTr0 сказал: в том-то и дело что по неактивному ssh туннелю, который висит, пакеты не бегают. и, думается, rdp аналогично. Все там бегает, у нас и ssh и rdp используется, а таймаут стоит 5 минут. Никаких проблем. Если окно rdp свернуть на час, до появления черного экрана и повторного запроса авторизации - соединение не обрывается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 29 сентября, 2020 · Жалоба В 28.09.2020 в 14:52, kayot сказал: Сложно сказать чем и что атаковали, раз в час-два росла таблица отслеживания на НАТ серверах вплоть до окукливания сервера. обычно - идет udp флуд, причем - часто битые пакеты, с рандомным отправителем. 8 часов назад, Saab95 сказал: Все там бегает халва, халва... расскажите тому, кто не пользовался ssh через недооператоров с зарезанными таймаутами коннтрака. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
x-rayd Опубликовано 29 сентября, 2020 · Жалоба 2 часа назад, NiTr0 сказал: расскажите тому, кто не пользовался ssh через недооператоров с зарезанными таймаутами коннтрака. Я активно использую SSH и RDP поставил TCP Established Timeout на 10 минут полет нормальный, обрывов пока не замечал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 30 сентября, 2020 · Жалоба 17 часов назад, NiTr0 сказал: расскажите тому, кто не пользовался ssh через недооператоров с зарезанными таймаутами коннтрака. Если уж красноглазить до упора - в rdp практически всегда есть часики на рабочем столе, которые раз в минуту картинку обновляют) Ну а если "админ" постоянно пользуется дома ssh тоннелями и не может поставить в клиенте галочку keepalive - тут больше вопросы к нему, чем к провайдеру. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 30 сентября, 2020 · Жалоба 3 часа назад, kayot сказал: Если уж красноглазить до упора - в rdp практически всегда есть часики на рабочем столе, которые раз в минуту картинку обновляют) угу, пока нет скринсейвера... 3 часа назад, kayot сказал: Ну а если "админ" постоянно пользуется дома ssh тоннелями и не может поставить в клиенте галочку keepalive - тут больше вопросы к нему, чем к провайдеру. когда у 99.9% операторов/провайдеров все гладко и шелковисто, а у 0.1%, которыми приходится изредка пользоваться (раз в несколько месяцев) - надо по мнению их собратьев ставить какие-то галочки где-то в openssh клиенте, который консольный, то тут таки вопросы к провайдеру... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 30 сентября, 2020 · Жалоба @NiTr0 ты что-то реально перегибаешь... Какие то выдуманные проблемы десятилетней давности... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 30 сентября, 2020 · Жалоба 6 часов назад, NiTr0 сказал: когда у 99.9% операторов/провайдеров все гладко и шелковисто, а у 0.1%, которыми приходится изредка пользоваться (раз в несколько месяцев) - надо по мнению их собратьев ставить какие-то галочки где-то в openssh клиенте, который консольный, то тут таки вопросы к провайдеру... Впервые с тобой не соглашусь Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 30 сентября, 2020 · Жалоба 9 часов назад, TriKS сказал: ты что-то реально перегибаешь... Какие то выдуманные проблемы десятилетней давности... поюзай ssh на интертелекоме. если не лезть в конфиги с кипалайвами - минут через 5-10 (на глаз) сессия без активности в ней отсыхает. отвлекся на гугол, вернулся в ssh - а сессия померла. заморачиваться с настройками кипалайва ради резервного линка, юзаемого от силы раз в несколько месяцев - смысла не вижу (больше времени потрачу на настройку с экспериментами, чем сэкономлю на реконнекте за лет 5). Только что, kayot сказал: и отслеживайте десятки миллионов мусорных записей вместо сотен тысяч. цифры-то откуда? "мусорная запись" может взяться только в случае, если у клиента с активной сессией оборвалась связь. всё. экзотические tcp ddos - в теории конечно возможны, но на практике - я их не видел, да и малополезны они (пушо раскрывают ip отправителя пакетов). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 30 сентября, 2020 · Жалоба 5 часов назад, NiTr0 сказал: то тут таки вопросы к провайдеру... Вот сейчас ради интереса залез в конфиг рабочего НАТ-сервера. TCP Established Timeout = 200с, в таком виде работает уже больше года. Это чуть больше 3 минут, даже не 5 как рекомендовали выше. Никаких жалоб не было и нет. Так что ставьте себе на здоровье сутки, или даже месяц как в дефолте, и отслеживайте десятки миллионов мусорных записей вместо сотен тысяч. Но не советуйте другим заниматься этим мазохизмом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 1 октября, 2020 (изменено) · Жалоба 10 часов назад, NiTr0 сказал: поюзай ssh на интертелекоме Зачем? Когда он банкротится повсеместно и сворачивается. Не юзай его. Поюзай с мобилы раздатчик 3\4G. и не надо будет еще модемы тягать с собой отдельно... @kayot Шото у тебя ретрансмиты вместо кипалайвов пошли :) Изменено 1 октября, 2020 пользователем TriKS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 3 октября, 2020 · Жалоба В 01.10.2020 в 12:25, TriKS сказал: Зачем? Когда он банкротится повсеместно и сворачивается ну чтобы представлять как это. т.к. банкротится и сворачивается сейчас. а проблема на нем была отродясь. ну и да, пока модем валяется и интертелеком еще дергается - смысла не вижу его не использовать. благое дело, покрытие куда лучше чем у прочего 3/4ж. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...