sysctl net.inet.icmp.icmplim

Dan Lukes dan at obluda.cz
Sun Apr 19 12:50:41 CEST 2015

Previous message: sysctl net.inet.icmp.icmplim
Next message: sysctl net.inet.icmp.icmplim
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

On 04/19/15 11:57, Zbyněk Burget:
> +Limiting icmp unreach response from 252 to 200 packets/sec
> +Limiting icmp ping response from 211 to 200 packets/sec
> +Limiting closed port RST response from 301 to 200 packets/sec

> Chtěl jsem se zeptat, jestli to máte někdo přenastaveno jinak, než je
> defalult 200 - mě totiž přijde 200/sec relativně už dost vysoká

Obvykle ne, ale je potreba uvazit k cemu to vlastne pouzivas.

Jde ti spis o to limitovani, tedy o zatizeni site a 
ja-nevim-ceho-jeste-dalsiho ? Pak to zrejme nechas nizko, klidne na tom 
defaultu nebo jeste niz.

Nebo jde spis o tu hlasku na konzoli a tedy pozorneni, ze se deje "neco 
neobvykleho" ? Pak to, zrejme, budes nastavovat spis tak, aby to za 
bezneho provozu zadny hlasky nepsalo a to muze znamenat. ze nekde/nekdy 
to dost mozna budes mit nastavene (i o dost) vys.


> Když jsem ale limit snížil v rámci testování
> opravdu nízko, zjistil jsem, že unreach a RST packetů se odesílá trvale
> řádově desítky za sekundu. To mě celkem překvapilo.

Jestli je to verejne dostupny stroj, tak na tom neni az dak dalece nic k 
prekvapeni. Scany adresniho prostoru jsou dneska naprosto beznou 
soucasti kose prichazejicih paketu.

Zalezi samozrejme na okolnostech (kolik adres ten stroj ma) a i v case 
ty pocty vykazuji pomerne znacke kratkodobe i dlouhodobe vykyvy.

Musel byses bliz podivat na to co ty ICMP/RST vyvolava abysis moh' 
udelat nejakej nazor na aktualni pricinu.

> Předpokládal jsem,  že ta sysctl má vliv jen na packety, které generuje kernel

Pokud vim, tak ano.

'closed RST response' nastava jedine v ramci tcp_input, tedy v reakci na 
prichozi TCP komunikaci zpracovavanou kernelem

'icmp unreach/ping response' je totez, ale pro UDP respektive ICMP ECHO

> Takhle to ale na mě dělá dojem, že to limituje i packety, které skrz router prochází z
> vnitřní sítě.

Nenaznacil's co tvuj dojem vyvolava, takze tezko ti to rozmlouvat ;-)

> A druhák - ten limit je globální (tedy neodešle celkově víc packetů, než  je limit) nebo se jedná o limit per IP?

Ano.

Dan

P.S.: ten limit je globalni

Previous message: sysctl net.inet.icmp.icmplim
Next message: sysctl net.inet.icmp.icmplim
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list