ifpw check-state a mnoho tcp wait
michal_sjx
michal_sjx at seznam.cz
Thu Jul 19 10:57:58 CEST 2007
Trosicku jsem postoupil v patrani. Vetsina zdroju na google a pod toto
resi v souvislosti s Apache serverem, i ja ho mam.
Zatim mam dojem, ze tcp zustane ve fin_wait_2 protoze v nastaveni Apache
mam povolene KeepAlive a v ipfw ho mam taky
net.inet.ip.fw.dyn_keepalive=1.
Takze nabyvam dojmu, ze si tihle dve "keep-alive" spolu obcas vymeneji
packet, ktery zajisti, ze spojeni zustane ve stavu fin_wait_2.
Stav zatim resim tak, ze na 5 minut rucne v ipfw smazu check-state a ono
pomalu zmizi tech 800 cekajicich spojeni.
Zdenek Bill píše v Út 17. 07. 2007 v 13:05 +0200:
> Zdravim,
> michal_sjx wrote:
> > Zdravim :),
> >
> > Nastavil jsem na serveru toto ipfw pravidlo:
> >
> > 00100 check-state
> > 00200 allow tcp from any to me setup limit src-addr 20
> > 65535 allow ip from any to any
> >
> > Nastavil jsem ho za ucelem zamezeni aby jeden navstevnik webu nemohl
> > otevrit vice jak 20 TCP spojeni (Delalo to problemy s webem, kdyz nekdo
> > otevrek 150 socketu na port 80).
> >
> > Od te doby vse ok.
> >
> > A zaroven od te doby se rapidne meni pomer mezi ESTABLISHED:WAIT.... .
> > Pred nastavenim vyse uvedenych pravidel to bylo cca 1:3. Po tydnu
> > provozu s limit pravidlem je pomer 1:300 a to me zacina desit.
> >
> > Chtel bych se tedy zeptat jestli je to normalni, jestli mam
> > predpokladat, ze mi dojde pamet kvuli alokovanym socketum a tak dale.
> > Proste me toto chovani dost prekvapilo, ale je mozne, ze je to nejaka
> > pomucka jak je naprogramovane pravidlo limit (nezkoumal jsem). Pokud
> > mate neco zajimaveho, rad se priucim :).
> >
> pro vyreseni problemu mozna postaci
> http://www.freebsd-howto.com/HOWTO/Ipfw-Advanced-Supplement-HOWTO
> > Jedna se o FreeBSD 5.4-RELEASE-p22, options IPFIREWALL v kernelu.
> >
> >
> > Dodatek: Dnes uj uplynula nejaka doba a tcp wait se mi taknejak ustalilo
> > na 750. Mozna to je tim, ze je vedro a lidi jsou u vody. Dnesni pomer
> > mam tedy 5:750 a to se mi zda strasne divne chovani.
> >
> >
> > diky za nazory michal
> >
> Zdenek
More information about the Users-l
mailing list