Форум Сайтостроение Администрирование серверов

ping потеря пакетов. Что-то с iptables?

12
LEOnidUKG
На сайте с 25.11.2006
Offline
1723
LEOnidUKG
2542

Проблема:

На сервере CentOS 5 начали теряться пакеты. Выключаем iptables всё ок. Включаем, начинаются потери.

Что делали:

Обновляли ядро

Обновляли iptables

Повышали sysctl net.ipv4.ip_conntrack_max=768000

Выключали ВСЕ правила iptables

Выключали net.ipv4.tcp_syncookies

Всё это дело не стабильно т.е. например вчера под вечер вообще идеально всё было. Сегодня с утра опять пошли потери.

У кого есть ещё какие идеи?

✅ Мой Телеграм канал по SEO, оптимизации сайтов и серверов: https://t.me/leonidukgLIVE ✅ Качественное и рабочее размещение SEO статей СНГ и Бурж: https://getmanylinks.ru/
pupseg
На сайте с 14.05.2010
Offline
347
pupseg
#1

чисто случайно шейпинг канала не стоит ? может быть в толщину внешки упираетесь?

Качественная помощь в обслуживании серверов. (/ru/forum/661100) Бесплатных консультаций не даю, не помогаю, не обучаю. Минималка от 100$. Как пропатчить KDE-просьба не спрашивать. Есть форумы (http://linux.org.ru) и полезные сайты (http://www.opennet.ru/).
LEOnidUKG
На сайте с 25.11.2006
Offline
1723
LEOnidUKG
#2
pupseg:
чисто случайно шейпинг канала не стоит ? может быть в толщину внешки упираетесь?

Хм, сейчас запросим ДЦ, может быть стойка перегружена. Но сам сервер не загруженный трафиком, возможно соседи нагружают. Но опять же, как же iptables влияет на всё это дело. Возможно чудесным образом и тут проблема и в том и в том, возможно совпадения.

---------- Добавлено 23.10.2013 в 16:37 ----------

Нет, всё проверили. Всё упирается в iptables. Выключаем всё ок.

Помощь в фильтрации ботов Файлов с критическими ошибками: Основы безопасности хостинг провайдера
VO
На сайте с 27.07.2008
Offline
149
V(o)ViK
#3

Тогда уже и правила покажите и как вы диагностируете потерю пакетов.

Количество правил какое?

LEOnidUKG
На сайте с 25.11.2006
Offline
1723
LEOnidUKG
#4
V(o)ViK:
Тогда уже и правила покажите и как вы диагностируете потерю пакетов.
Количество правил какое?

Да никаких там правил нету в основном.

Один лишь переброс портов:

/sbin/iptables -t nat -A PREROUTING -d x.x.x.x -p tcp -m tcp --dport 80 -j DNAT --to-destination x.x.x.x:85

Проблема вся появилось недавно только.

Остальные настройки в CSF, но его отключение результата не даёт.

С iptables вообще чудеса, то всё ок в течении 2-4 часов, потом накрывается. Смотрим через iftop никакой аномалии на сетевуху.

---------- Добавлено 23.10.2013 в 17:14 ----------

Потери следим на обычном пинге, так же WinMTR в нём 4-8% потерь именно на сервере.

Glueon
На сайте с 26.07.2013
Offline
172
Glueon
#5
Повышали sysctl net.ipv4.ip_conntrack_max=768000

Да, шаг правильный, но а вдруг и этого не хватает? В dmesg на тему нехватки таблицы никаких сообщений нет? Просто все визуально указывает на это. Либо на нехватку CPU. Но тогда в top были бы видны соотвествующие процессы и вы бы наверное обратили внимание.

Есть много IP-сетей в аренду под прокси, парсинг, рассылки (optin), vpn и хостинг. Телега: @contactroot ⚒ ContactRoot команда опытных сисадминов (/ru/forum/861038), свой LIR: сдаем в аренду сети IPv4/v6 (/ru/forum/1012475).
LEOnidUKG
На сайте с 25.11.2006
Offline
1723
LEOnidUKG
#6
Glueon:
Да, шаг правильный, но а вдруг и этого не хватает? В dmesg на тему нехватки таблицы никаких сообщений нет? Просто все визуально указывает на это. Либо на нехватку CPU. Но тогда в top были бы видны соотвествующие процессы и вы бы наверное обратили внимание.

Нет, перегрузки нет. CPU вообще отсыхает, там 4-х ядерная махина на не большие сайты. Порт 100 мегабитный, нагрузка в пик 5 мегабит.

В dmesg всё ок.

zexis
На сайте с 09.08.2005
Offline
388
zexis
#7

Посмотрте с помощью

tcpdump -n icmp

какие пакеты приходят на сервер.

Отправьте серверу 50 пинг пакетов и посчитайте сколько зафиксирует tcpdump

tcpdump показывает даже те пакеты которые блокируются правилами iptables.

LEOnidUKG
На сайте с 25.11.2006
Offline
1723
LEOnidUKG
#8
zexis:
Посмотрте с помощью
tcpdump -n icmp
какие пакеты приходят на сервер.
Отправьте серверу 50 пинг пакетов и посчитайте сколько зафиксирует tcpdump

tcpdump показывает даже те пакеты которые блокируются правилами iptables.

Одинаковое.

tcpdump тоже замирает когда у меня пинг не уходит.

---------- Добавлено 23.10.2013 в 18:24 ----------

208 packets captured

208 packets received by filter

0 packets dropped by kernel

---------- Добавлено 23.10.2013 в 18:59 ----------

Уже не знаю, в чём чудеса. Снесли нафиг CSF, очистили ВСЕ правила. Без толку. Теряются пакеты и всё.

AU
На сайте с 03.09.2009
Offline
88
adm.unix
#9

Интересно понять какие именно пакеты теряются. Я полагаю что речь идет о TCP, при этом UDP, ICMP пакеты не теряются. Могли бы вы показать netstat -s ?

Здесь найдены интересные рассуждения по поводу iptables и потерянных пакетов.

Приведу цитату

"TCP allows the client to send a FIN packet, and you to ACK that FIN packet, but still keep your end of the connection open and push more data through it, sending your own FIN packet at some time in the future."

Иными словами, после посылки FIN пакета удаленной стороной, ваша система подтверждает разрыв TCP соединения через ACK, однако перед тем как послать FIN, некоторые время продолжает слать данные.

Вторая интересная ссылка по этой же теме здесь

Unix в вопросах и ответах https://unixhow.com (https://unixhow.com)
LEOnidUKG
На сайте с 25.11.2006
Offline
1723
LEOnidUKG
#10
adm.unix:
Интересно понять какие именно пакеты теряются. Я полагаю что речь идет о TCP, при этом UDP, ICMP пакеты не теряются. Могли бы вы показать netstat -s ?

Теряется всё и ICMP и TCP.

Проблема в том, что мы мониторим не 1 сервер из ДЦ и там такой аномалии нету.

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий