OpenForum RSS: Как разорать ОГРОМНЫЙ список в /proc/sys/net/ip_contrack? https://www.opennet.ru/openforum/vsluhforumID1/86964.html Доброго дня!<br>Есть ОГРОМНАЯ локальная сеть, которая через 3 железных шлюза ходит во внешний мир.<br>Все работает. Не жалуюсь. Но бывают моменты, что на всех (!) роутерах одновременно начинает происходить такая картина, как жалобы на следующее --<br> <br>*-router kernel: ip_conntrack: table full, dropping packet.<br><br>И через 10-15 минут такого один, два или все три сразу роутера виснут и начитают, даже локально отзываться ОЧЕНЬ туго... <br>Помогает только ребут системы...<br><br>Методом проб и ошибок частично удалось сократить появление подобных записей, путем добавления количества соединений в /proc/sys/net/ipv4/ip_conntrack_max<br>Но это не выход из положения, т.к. оперативная память на роутерах не резиновая...<br><br>В то время, когда это происходит, можно наблюдать картину в /proc/sys/net/ip_contrack, но соединений ОЧЕНЬ (!) много, чтобы вычислить "виновника торжества"...<br><br>Вопрос: чем можно воспользоваться, чтобы вычислить самых активных пользователей, исходя из содержимого /proc/sys/net/ip_contrack ? Ведь, я уверен, что е Как разорать ОГРОМНЫЙ список в /proc/sys/net/ip_contrack? (Oleg_Rus) https://www.opennet.ru/openforum/vsluhforumID1/86964.html#11 Wed, 21 Oct 2009 12:34:11 GMT &gt;&gt;Вопрос в другом. Нужно вычислить пользователя\лей из-за которых это случается. <br>&gt;&gt;КАК? <br>&gt;<br>&gt;В большой локальной сети - никак. Если зафиксированы ip на портах коммутатторов, <br>&gt;то по ip. <br><br>все так и есть! как вычислить ip зачинщика???<br> Как разорать ОГРОМНЫЙ список в /proc/sys/net/ip_contrack? (tux2002) https://www.opennet.ru/openforum/vsluhforumID1/86964.html#10 Wed, 21 Oct 2009 11:29:35 GMT Проверьте всё-таки DNS ресолвинг, потому что это скорее всего udp (без контроля состояния) и что-то очень активное.<br><br><br> Как разорать ОГРОМНЫЙ список в /proc/sys/net/ip_contrack? (svn) https://www.opennet.ru/openforum/vsluhforumID1/86964.html#9 Wed, 21 Oct 2009 11:13:57 GMT &gt;Вопрос в другом. Нужно вычислить пользователя\лей из-за которых это случается. <br>&gt;КАК? <br><br>В большой локальной сети - никак. Если зафиксированы ip на портах коммутатторов, то по ip.<br><br> Как разорать ОГРОМНЫЙ список в /proc/sys/net/ip_contrack? (svn) https://www.opennet.ru/openforum/vsluhforumID1/86964.html#8 Wed, 21 Oct 2009 11:10:46 GMT &gt;Пока - только предполагаю. У меня на роутерах 256мб оперативы. Возможности расширить <br>&gt;еще - НЕТ. Увы... Какова может быть максимальная величина значений для <br>&gt;такого объема памяти? <br><br>Считай сам, только тебе известны запущенные программы и их аппетиты. Хотя я бы ничего не запускал из сервисов на таких компьютерах вообще.<br>Одна запись в таблице conntrack занимает примерно 300 байт памяти ядра (которая не может быть вытеснена в свап).<br><br> Как разорать ОГРОМНЫЙ список в /proc/sys/net/ip_contrack? (tux2002) https://www.opennet.ru/openforum/vsluhforumID1/86964.html#7 Wed, 21 Oct 2009 11:02:29 GMT У меня такое было на роутере Zyxel ZeWall (внутри linux) из-за DNS за NAT ом. Решил настройкой bind forwarders, query source address, port. Тогда таблица conntrack перестала переполняться udp сессиями.<br> Как разорать ОГРОМНЫЙ список в /proc/sys/net/ip_contrack? (Oleg_Rus) https://www.opennet.ru/openforum/vsluhforumID1/86964.html#6 Wed, 21 Oct 2009 10:49:49 GMT &gt;&gt;Или подскажите, кто и как поступает\поступил бы в данной ситуации, чтобы <br>&gt;&gt;вычислить обидчика?... <br>&gt;<br>&gt;Лучше не допускать того чтобы тебя обидели. Ограничивать число сессий для <br>&gt;каждого локального адреса. <br>&gt;<br>&gt;Но этим можно обидеть пользователей локальной сети. <br><br>Вопрос в другом. Нужно вычислить пользователя\лей из-за которых это случается.<br>КАК?<br> Как разорать ОГРОМНЫЙ список в /proc/sys/net/ip_contrack? (Oleg_Rus) https://www.opennet.ru/openforum/vsluhforumID1/86964.html#5 Wed, 21 Oct 2009 10:48:07 GMT &gt;&gt;raw: <br>&gt;<br>&gt;SNAT без conntrack не работает. <br>&gt;<br>&gt;&gt;Use FreeBSD ;-)<br>&gt;<br>&gt;Сомневаюсь что это поможет. <br>&gt;<br><br>вот и я про тоже ))<br><br>&gt;Иного пути кроме как добавить памяти (кстати с чего ты решил что <br>&gt;её не хватит на увеличение таблицы ослеживаемых соединений?)<br><br>Пока - только предполагаю. У меня на роутерах 256мб оперативы. Возможности расширить еще - НЕТ. Увы... Какова может быть максимальная величина значений для такого объема памяти?<br><br>&gt;и увеличить размер таблицы conntrack нет. <br>&gt;Или надо отказываться от NAT. <br><br>Нет. От nat отказаться нет возможности...<br><br> Как разорать ОГРОМНЫЙ список в /proc/sys/net/ip_contrack? (svn) https://www.opennet.ru/openforum/vsluhforumID1/86964.html#4 Wed, 21 Oct 2009 10:40:25 GMT &gt;Или подскажите, кто и как поступает\поступил бы в данной ситуации, чтобы <br>&gt;вычислить обидчика?... <br><br>Лучше не допускать того чтобы тебя обидели. Ограничивать число сессий для каждого локального адреса.<br><br>Но этим можно обидеть пользователей локальной сети.<br> Как разорать ОГРОМНЫЙ список в /proc/sys/net/ip_contrack? (svn) https://www.opennet.ru/openforum/vsluhforumID1/86964.html#3 Wed, 21 Oct 2009 10:27:27 GMT &gt;raw: <br><br>SNAT без conntrack не работает.<br><br>&gt;Use FreeBSD ;-)<br><br>Сомневаюсь что это поможет.<br><br>Иного пути кроме как добавить памяти (кстати с чего ты решил что её не хватит на увеличение таблицы ослеживаемых соединений?) и увеличить размер таблицы conntrack нет.<br><br>Или надо отказываться от NAT.<br><br>