Зачем вам iptables и conntrack? - Администрирование серверов

загрузка ksoftirqd

valsha · 2011-02-11T23:09:01.0000000Z

Добрый вечер. Система CentOs 5.5, ядро 2.6.18-194.32.1.el5PAE при ддосе и работающем iptables, загрузка ksoftirqd 99% и очень медленно уже работает iptabes, если же iptables останавливаешь то все ок, хоть и ддосят но то уже ерунда, nginx справляется. В интернете искал подобные проблемы но там ничего толком не отвечали на такие проблемы, у одних была проблема я кривыми драйверами на сетевую еще у кого то в хертцнере сервер был с стандартным херцнеровским ядром, поменяли его на стандартное ядро CentOs и все ок. В моей же системе как раз ядро стандартное CentOs, с драйверами не разбирался. Может кто уже сталкивался с такой проблемой? Спасибо.

822

Andreyka

12 февраля 2011, 18:31

#11

valsha:

это проблема всех PAE?

Нет. Это частный случай pae+железо.

Не стоит плодить сущности без необходимости

107

valsha

12 февраля 2011, 18:40

#12

1. памяти 4Гб

2. dmesg

dmesg | tail -n50
possible SYN flooding on port 80. Sending cookies.
printk: 125 messages suppressed.
ip_conntrack: table full, dropping packet.
possible SYN flooding on port 80. Sending cookies.
possible SYN flooding on port 80. Sending cookies.
possible SYN flooding on port 80. Sending cookies.
possible SYN flooding on port 80. Sending cookies.
possible SYN flooding on port 80. Sending cookies.
possible SYN flooding on port 80. Sending cookies.
ip_conntrack: table full, dropping packet.
ip_conntrack: table full, dropping packet.
ip_conntrack: table full, dropping packet.
ip_conntrack: table full, dropping packet.
ip_conntrack: table full, dropping packet.
ip_conntrack: table full, dropping packet.
ip_conntrack: table full, dropping packet.
ip_conntrack: table full, dropping packet.
ip_conntrack: table full, dropping packet.
ip_conntrack: table full, dropping packet.
printk: 117 messages suppressed.
ip_conntrack: table full, dropping packet.
ip_conntrack: table full, dropping packet.
ip_conntrack: table full, dropping packet.
ip_conntrack: table full, dropping packet.
ip_conntrack: table full, dropping packet.
ip_conntrack: table full, dropping packet.
printk: 5 messages suppressed.
ip_conntrack: table full, dropping packet.
possible SYN flooding on port 80. Sending cookies.
Removing netfilter NETLINK layer.
possible SYN flooding on port 80. Sending cookies.
possible SYN flooding on port 80. Sending cookies.
possible SYN flooding on port 80. Sending cookies.
possible SYN flooding on port 80. Sending cookies.
possible SYN flooding on port 80. Sending cookies.
possible SYN flooding on port 80. Sending cookies.
possible SYN flooding on port 80. Sending cookies.
possible SYN flooding on port 80. Sending cookies.
possible SYN flooding on port 80. Sending cookies.
possible SYN flooding on port 80. Sending cookies.
possible SYN flooding on port 80. Sending cookies.
possible SYN flooding on port 80. Sending cookies.
possible SYN flooding on port 80. Sending cookies.
printk: 91 messages suppressed.
TCP: Treason uncloaked! Peer 81.159.37.219:64609/80 shrinks window 953874833:953876458. Repaired.
TCP: Treason uncloaked! Peer 87.150.88.229:4656/80 shrinks window 574807413:574821738. Repaired.
TCP: Treason uncloaked! Peer 87.150.88.229:4656/80 shrinks window 574807413:574821738. Repaired.
TCP: Treason uncloaked! Peer 87.150.88.229:4656/80 shrinks window 574807413:574821738. Repaired.
TCP: Treason uncloaked! Peer 77.49.115.77:64818/80 shrinks window 1337807918:1337810822. Repaired.
TCP: Treason uncloaked! Peer 60.231.130.216:53175/80 shrinks window 2558301862:2558310622. Repaired.

3. iptables

iptables -nvL
Chain INPUT (policy ACCEPT 22 packets, 28911 bytes)
pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 1 packets, 44 bytes)
pkts bytes target prot opt in out source destination
[root@antiddos /]#

247

Raistlin

12 февраля 2011, 18:44

#13

valsha:
1. памяти 4Гб

PAE включается выше 3,5 Гбайт.

По всей видимости вам надо крутить sysctl

HostAce - Асы в своем деле (http://hostace.ru)

107

valsha

12 февраля 2011, 19:04

#14

Raistlin:

По всей видимости вам надо крутить sysctl

угу, только что пробовал увеличить conntrack

net.ipv4.netfilter.ip_conntrack_max = 40000

но ошибка

error: "net.ipv4.netfilter.ip_conntrack_max" is an unknow

вроде бы пишут что возможно используется nf_conntrack

247

Raistlin

12 февраля 2011, 19:09

#15

http://www.opennet.ru/openforum/vsluhforumID1/43490.html

Первая ссылка в гугл

107

valsha

12 февраля 2011, 19:23

#16

Raistlin:
http://www.opennet.ru/openforum/vsluhforumID1/43490.html

Первая ссылка в гугл

перва ссылка на что? на ошибку

error: "net.ipv4.netfilter.ip_conntrack_max" is an unknow

или на то как увеличить conntrack? потому что как через sysctl увеличить conntrack спасибо, я знаю.

N

419

netwind

12 февраля 2011, 19:27

#17

А зачем его крутить? чтобы еще больше ресурсов сожрал conntrack и сопутствующие обработки пакетов?

Я так понял, раз на мой вопрос ответа нет, то вы не можете объяснить зачем вам iptables и conntrack.

Выключайте их

Кнопка вызова админа ()

Google ответил на ряд Google: контекст вокруг ссылки Google о ссылочных алгоритмах

107

valsha

12 февраля 2011, 20:05

#18

netwind:

Выключайте их

так и сделал.

но без iptables не комфортно как то :)

N

419

netwind

12 февраля 2011, 20:50

#19

valsha, надеюсь у вас все будет хорошо!

полегчало?

107

valsha

12 февраля 2011, 22:49

#20

netwind:
valsha, надеюсь у вас все будет хорошо!
полегчало?

не особо, iptables отключил пару дней как назад же.

но как то все равно без него не так :) привык к тому что всегда фаервол должен быть включен.

Что делать, чтобы попасть в ответы Google Bard

VK приобрела 70% в структуре компании-разработчика red_mad_robot

загрузка ksoftirqd