- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов
А 24,9% – на сегмент электронной коммерции
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Проблема:
На сервере CentOS 5 начали теряться пакеты. Выключаем iptables всё ок. Включаем, начинаются потери.
Что делали:
Обновляли ядро
Обновляли iptables
Повышали sysctl net.ipv4.ip_conntrack_max=768000
Выключали ВСЕ правила iptables
Выключали net.ipv4.tcp_syncookies
Всё это дело не стабильно т.е. например вчера под вечер вообще идеально всё было. Сегодня с утра опять пошли потери.
У кого есть ещё какие идеи?
чисто случайно шейпинг канала не стоит ? может быть в толщину внешки упираетесь?
чисто случайно шейпинг канала не стоит ? может быть в толщину внешки упираетесь?
Хм, сейчас запросим ДЦ, может быть стойка перегружена. Но сам сервер не загруженный трафиком, возможно соседи нагружают. Но опять же, как же iptables влияет на всё это дело. Возможно чудесным образом и тут проблема и в том и в том, возможно совпадения.
---------- Добавлено 23.10.2013 в 16:37 ----------
Нет, всё проверили. Всё упирается в iptables. Выключаем всё ок.
Тогда уже и правила покажите и как вы диагностируете потерю пакетов.
Количество правил какое?
Тогда уже и правила покажите и как вы диагностируете потерю пакетов.
Количество правил какое?
Да никаких там правил нету в основном.
Один лишь переброс портов:
/sbin/iptables -t nat -A PREROUTING -d x.x.x.x -p tcp -m tcp --dport 80 -j DNAT --to-destination x.x.x.x:85
Проблема вся появилось недавно только.
Остальные настройки в CSF, но его отключение результата не даёт.
С iptables вообще чудеса, то всё ок в течении 2-4 часов, потом накрывается. Смотрим через iftop никакой аномалии на сетевуху.
---------- Добавлено 23.10.2013 в 17:14 ----------
Потери следим на обычном пинге, так же WinMTR в нём 4-8% потерь именно на сервере.
Да, шаг правильный, но а вдруг и этого не хватает? В dmesg на тему нехватки таблицы никаких сообщений нет? Просто все визуально указывает на это. Либо на нехватку CPU. Но тогда в top были бы видны соотвествующие процессы и вы бы наверное обратили внимание.
Да, шаг правильный, но а вдруг и этого не хватает? В dmesg на тему нехватки таблицы никаких сообщений нет? Просто все визуально указывает на это. Либо на нехватку CPU. Но тогда в top были бы видны соотвествующие процессы и вы бы наверное обратили внимание.
Нет, перегрузки нет. CPU вообще отсыхает, там 4-х ядерная махина на не большие сайты. Порт 100 мегабитный, нагрузка в пик 5 мегабит.
В dmesg всё ок.
Посмотрте с помощью
tcpdump -n icmp
какие пакеты приходят на сервер.
Отправьте серверу 50 пинг пакетов и посчитайте сколько зафиксирует tcpdump
tcpdump показывает даже те пакеты которые блокируются правилами iptables.
Посмотрте с помощью
tcpdump -n icmp
какие пакеты приходят на сервер.
Отправьте серверу 50 пинг пакетов и посчитайте сколько зафиксирует tcpdump
tcpdump показывает даже те пакеты которые блокируются правилами iptables.
Одинаковое.
tcpdump тоже замирает когда у меня пинг не уходит.
---------- Добавлено 23.10.2013 в 18:24 ----------
208 packets captured
208 packets received by filter
0 packets dropped by kernel
---------- Добавлено 23.10.2013 в 18:59 ----------
Уже не знаю, в чём чудеса. Снесли нафиг CSF, очистили ВСЕ правила. Без толку. Теряются пакеты и всё.
Интересно понять какие именно пакеты теряются. Я полагаю что речь идет о TCP, при этом UDP, ICMP пакеты не теряются. Могли бы вы показать netstat -s ?
Здесь найдены интересные рассуждения по поводу iptables и потерянных пакетов.
Приведу цитату
"TCP allows the client to send a FIN packet, and you to ACK that FIN packet, but still keep your end of the connection open and push more data through it, sending your own FIN packet at some time in the future."
Иными словами, после посылки FIN пакета удаленной стороной, ваша система подтверждает разрыв TCP соединения через ACK, однако перед тем как послать FIN, некоторые время продолжает слать данные.
Вторая интересная ссылка по этой же теме здесь
Интересно понять какие именно пакеты теряются. Я полагаю что речь идет о TCP, при этом UDP, ICMP пакеты не теряются. Могли бы вы показать netstat -s ?
Теряется всё и ICMP и TCP.
Проблема в том, что мы мониторим не 1 сервер из ДЦ и там такой аномалии нету.