https://www.opennet.ru/openforum/vsluhforumID1/92891.html Здравствуйте господа.<br>Следующий вопрос:<br>Есть шлюз с пробросом портов на компьютер в локальной сети.<br>Так вот на этот компьютер порой проброшенные пакеты не доходят.<br>Когда делаю на шлюзе tcpdump то по его завершению получаю<br>tcpdump: verbose output suppressed, use -v or -vv for full protocol decode<br>listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes<br>134 packets captured<br>15064 packets received by filter<br>14771 packets dropped by kernel<br><br>Что это за пакеты такие 14771 packets dropped by kernel ? <br>Можно ли как либо включить логирование дропнутых ядром пакетов средствами iptables ну или хотябы просмотреть при помощи tcpdump или еще как либо? <br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/92891.html#12 Wed, 18 Jan 2012 18:03:47 GMT &gt; Оно?<br><br> Понятия не имею. Возможно - и "оно". А "оно" - это "что" должно быть? PPS - там мизер. Общего трафика - тоже с гулкин ...нос.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/92891.html#11 Wed, 18 Jan 2012 14:06:21 GMT &gt;[оверквотинг удален]<br>&gt; секунду). Трафик может быть и небольшим, но с большим количеством мелких <br>&gt; пакетов (пример, торренты). Практика показывает, что без дополнительного тюнинга роутеры <br>&gt; на Линукс начинают терять пакеты где-то на величине порядка 30К PPS <br>&gt; (вроде так у нас было - пока от софтовых роутеров не <br>&gt; перешли на CISCO SCE-2000). От типов сетевых карт тоже очень сильно <br>&gt; зависит способность "держания" большие сетевые нагрузки. Интеловские карты с большим количество <br>&gt; аппаратных очередей показывают очень приличные показатели. Но и стоят недурно... А <br>&gt; вообще - если у Вас речь идет о "гиговых" каналах - <br>&gt; сетевой стек надо тюнить. Вроде статья по тюнингу была даже здесь <br>&gt; - на опеннете.<br><br>x Total rates: 2788.0 kbits/sec Broadcast packets: 1 x<br>x 957.0 packets/sec Broadcast bytes: 82 https://www.opennet.ru/openforum/vsluhforumID1/92891.html#10 Wed, 18 Jan 2012 13:43:30 GMT &gt;[оверквотинг удален]<br>&gt; секунду). Трафик может быть и небольшим, но с большим количеством мелких <br>&gt; пакетов (пример, торренты). Практика показывает, что без дополнительного тюнинга роутеры <br>&gt; на Линукс начинают терять пакеты где-то на величине порядка 30К PPS <br>&gt; (вроде так у нас было - пока от софтовых роутеров не <br>&gt; перешли на CISCO SCE-2000). От типов сетевых карт тоже очень сильно <br>&gt; зависит способность "держания" большие сетевые нагрузки. Интеловские карты с большим количество <br>&gt; аппаратных очередей показывают очень приличные показатели. Но и стоят недурно... А <br>&gt; вообще - если у Вас речь идет о "гиговых" каналах - <br>&gt; сетевой стек надо тюнить. Вроде статья по тюнингу была даже здесь <br>&gt; - на опеннете.<br><br>Сетевые карты интеловые и есть<br>модели сейчас не вспомню<br>но четырехпортовые гигабитные пси-е да там цены порядка тыщи уе за штуку.<br>Ладно будем пытаться охватить ethtool<br><br> https://www.opennet.ru/openforum/vsluhforumID1/92891.html#9 Tue, 17 Jan 2012 18:06:49 GMT &gt; Тут я так понимаю мы можем видеть что пакеты не дропаются аппаратно. <br>&gt; Так?<br><br> Ну - явно их не видно. :) А man ethtool так и остался неохвачен? Он намного больше информации дает. Правил iptables много? Шейпинг есть? Надо еще смотреть iptraf - параметр PPS (пакетов в секунду). Трафик может быть и небольшим, но с большим количеством мелких пакетов (пример, торренты). Практика показывает, что без дополнительного тюнинга роутеры на Линукс начинают терять пакеты где-то на величине порядка 30К PPS (вроде так у нас было - пока от софтовых роутеров не перешли на CISCO SCE-2000). От типов сетевых карт тоже очень сильно зависит способность "держания" большие сетевые нагрузки. Интеловские карты с большим количество аппаратных очередей показывают очень приличные показатели. Но и стоят недурно... А вообще - если у Вас речь идет о "гиговых" каналах - сетевой стек надо тюнить. Вроде статья по тюнингу была даже здесь - на опеннете.<br><br> https://www.opennet.ru/openforum/vsluhforumID1/92891.html#8 Tue, 17 Jan 2012 14:03:38 GMT &gt;&gt; Они, например, могут быть не "проброшены" по причине того, что на сетевой <br>&gt;&gt; карте стоит большой поток и они просто дропаются - тут Вам <br>&gt;&gt; ethtool в помощь. - Как это проверить?<br>&gt; Буду банален, но man ethtool. Та информация, которую Вы выше привели <br>&gt; - абсолютно бесполезна. Ну, разве что показывает, что карта на гиге <br>&gt; стоит. Поток на инфтерфейсах показывает iptraf (например) - ну, или его <br>&gt; новый клон - iptraf-ng. ifconfig показывает дропнутые (в том числе) пакеты. <br>&gt; Попутно могу сказать, что пакеты могут (например) не дойти до внутренних <br>&gt; машин (в LAN) - если применяется шейпинг и загрузка процессора велика, <br>&gt; или очередь какого-нибудь HTB (или чего там в качестве дисциплины) мала. <br><br>[root@gateway ~]# ifconfig<br>eth0 Link encap:Ethernet HWaddr 00:E0:81:D4:DA:01<br> inet addr:91.197.49.170 Bcast:91.197.49.175 Mask:255.255.255.248<br> UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1<br> RX packets:27928876 errors:1 dropped:0 overruns:0 frame:1<br> TX https://www.opennet.ru/openforum/vsluhforumID1/92891.html#7 Tue, 17 Jan 2012 13:46:07 GMT &gt; Они, например, могут быть не "проброшены" по причине того, что на сетевой <br>&gt; карте стоит большой поток и они просто дропаются - тут Вам <br>&gt; ethtool в помощь. - Как это проверить?<br><br> Буду банален, но man ethtool. Та информация, которую Вы выше привели - абсолютно бесполезна. Ну, разве что показывает, что карта на гиге стоит. Поток на инфтерфейсах показывает iptraf (например) - ну, или его новый клон - iptraf-ng. ifconfig показывает дропнутые (в том числе) пакеты. Попутно могу сказать, что пакеты могут (например) не дойти до внутренних машин (в LAN) - если применяется шейпинг и загрузка процессора велика, или очередь какого-нибудь HTB (или чего там в качестве дисциплины) мала.<br> https://www.opennet.ru/openforum/vsluhforumID1/92891.html#6 Tue, 17 Jan 2012 13:24:02 GMT &gt;[оверквотинг удален]<br>&gt; Что Вы понимаете под этими словами - лчино мне неведомо. Раскройте <br>&gt; тему. Они, например, могут быть не "проброшены" по причине того, что <br>&gt; на сетевой карте стоит большой поток и они просто дропаются - <br>&gt; тут Вам ethtool в помощь. Они могут быть дропнуты Вашим файрволлом <br>&gt; по той или иной причине - тут перед запрещающим правилом (DROP) <br>&gt; можно поставить, например, -j LOG --log-prefix="DROPPED:" - тогда Вы отследите дропнутые <br>&gt; пакеты (но только в случае, если их причиной было запрещающее правило <br>&gt; файрволла). Собственно, в этом случае общую статистику можно увидеть напротив запрещающего <br>&gt; правила, если выдать команду iptables -nvL INPUT (или FORWARD - если <br>&gt; пакеты ходят во внутреннюю сеть через сервер).<br><br>[root@gateway ~]# ethtool eth1<br>Settings for eth1:<br> Supported ports: [ TP ]<br> Supported link modes: 10baseT/Half 10baseT/Full<br> 100baseT/Half 100baseT/Full<br> 1000baseT/Full<br> Su https://www.opennet.ru/openforum/vsluhforumID1/92891.html#5 Tue, 17 Jan 2012 13:20:15 GMT &gt;[оверквотинг удален]<br>&gt; Что Вы понимаете под этими словами - лчино мне неведомо. Раскройте <br>&gt; тему. Они, например, могут быть не "проброшены" по причине того, что <br>&gt; на сетевой карте стоит большой поток и они просто дропаются - <br>&gt; тут Вам ethtool в помощь. Они могут быть дропнуты Вашим файрволлом <br>&gt; по той или иной причине - тут перед запрещающим правилом (DROP) <br>&gt; можно поставить, например, -j LOG --log-prefix="DROPPED:" - тогда Вы отследите дропнутые <br>&gt; пакеты (но только в случае, если их причиной было запрещающее правило <br>&gt; файрволла). Собственно, в этом случае общую статистику можно увидеть напротив запрещающего <br>&gt; правила, если выдать команду iptables -nvL INPUT (или FORWARD - если <br>&gt; пакеты ходят во внутреннюю сеть через сервер).<br><br>Я делал iptables -L -x -v по счетчикам есть несколько срабатываний на правилах которые делают DROP но это не совсем то.<br> https://www.opennet.ru/openforum/vsluhforumID1/92891.html#4 Tue, 17 Jan 2012 13:07:03 GMT &gt; Ок. Это просто пакеты не поместившиеся в буфер тцпдампа, если я верно <br>&gt; понял.<br><br> Неверно Вы поняли. Это пакеты, которые были помещены в буфер ядра, но не были обработаны тцпдампом по причине переполнения буфера (вариант - осуществлялся ДНС - резолвинг - поэтому Вам и предложили отключить его при помощи -n), отведенного ядром. В итоге эти пакеты были перезаписаны в буфере и не были обработаны тцпдампом.<br> <br>&gt; Но в любом случае проблема остается. На компьютер во внутренней сети пакеты <br>&gt; пробрасываются не всегда. Как можно отследить подобное?<br><br> Что Вы понимаете под этими словами - лчино мне неведомо. Раскройте тему. Они, например, могут быть не "проброшены" по причине того, что на сетевой карте стоит большой поток и они просто дропаются - тут Вам ethtool в помощь. Они могут быть дропнуты Вашим файрволлом по той или иной причине - тут перед запрещающим правилом (DROP) можно поставить, например, -j LOG --log-prefix="DROPPED:" - тогда Вы отследите дропнутые пакеты (но только в случае, если их причиной было