https://www.opennet.ru/openforum/vsluhforumID1/97115.html Вчера вечером начал сильно тормозить интернет в офисе, это повторилось сегодня, и я догадался взглянуть на логи сервера: "PF states limit reached". И действительно: pfctl -si -&gt; current entries 10000. Добавляю в pf.conf "set limit states 250000", и тормоза прекращаются. <br>Но мне стало интересно, откуда вдруг взялись 10K состояний? По-этому я сделал следующее: <br>pfctl -s state &#124; grep -o "192\.168\.0\.[0-9]*" &#124; sort &#124; uniq -c<br>И увидел такую картину: IP-адрес 192.168.0.188 повторяется в таблице 6716 раз! <br>Сеть 192.168.0.0/24 - это гостевая wifi-сеть. То-есть, этот IP-адрес может принадлежать какому-нибудь смартфону или ноутбуку. Вопрос в другом: за таблицей я наблюдаю уже часа два, и за это время число повторений данного IP-адреса не изменилось, и это при том, что уже как минимум два часа "apr -a" не выдает этого IP-адреса, то-есть он в офлайне. Ну и разумеется "tcpdump -n -i hn2 src 192.168.0.188" ничего не выдает. <br>Почему PF до сих пор хранит состояния с этим IP-адресом (ESTABLISHED:ESTABLISH https://www.opennet.ru/openforum/vsluhforumID1/97115.html#7 Sun, 06 May 2018 09:38:03 GMT &gt; Спасибо за ответы!<br>&gt; Скажите, пожалуйста, а по какой причине соединение могло быть не закрыто? И <br>&gt; как мог какой-нибудь ноутбук или смартфон менее чем за 12 часов <br>&gt; набрать 6К соединений (каждое утро в 6 часов сервер перезагружается)? Кстати, <br>&gt; судя по whois, это устройство соединялось с IP-адресами google.<br>&gt; Интересно, что гостевой wifi работает в офисе уже около года, и я <br>&gt; впервые наблюдаю такую проблему с переполнением таблицы состояний.<br><br>Торрент часто так делает<br> https://www.opennet.ru/openforum/vsluhforumID1/97115.html#6 Sun, 28 Jan 2018 07:32:04 GMT &gt; Спасибо за ответы!<br>&gt; Скажите, пожалуйста, а по какой причине соединение могло быть не закрыто? И<br><br>Например на устройстве отключили wifi/закрыли крышку ноутбука<br><br>&gt; как мог какой-нибудь ноутбук или смартфон менее чем за 12 часов <br>&gt; набрать 6К соединений (каждое утро в 6 часов сервер перезагружается)? Кстати,<br><br>Можно успеть за секунду.<br><br>&gt; судя по whois, это устройство соединялось с IP-адресами google.<br>&gt; Интересно, что гостевой wifi работает в офисе уже около года, и я <br>&gt; впервые наблюдаю такую проблему с переполнением таблицы состояний.<br><br>Настройте лимиты на число соединений для гостевой сети (читать в районе stateful tracking)<br> https://www.opennet.ru/openforum/vsluhforumID1/97115.html#5 Sun, 28 Jan 2018 06:32:57 GMT Спасибо за ответы!<br>Скажите, пожалуйста, а по какой причине соединение могло быть не закрыто? И как мог какой-нибудь ноутбук или смартфон менее чем за 12 часов набрать 6К соединений (каждое утро в 6 часов сервер перезагружается)? Кстати, судя по whois, это устройство соединялось с IP-адресами google.<br>Интересно, что гостевой wifi работает в офисе уже около года, и я впервые наблюдаю такую проблему с переполнением таблицы состояний.<br> https://www.opennet.ru/openforum/vsluhforumID1/97115.html#4 Sat, 27 Jan 2018 19:47:58 GMT &gt; Таблицы использую. А это может повлиять на таблицу состояний?<br><br>да и не только таблицы, каждое PF правило тоже. вижу ответили касательно IP призрака, могу посоветовать почитать хорощую статью по настройки и оптимизации PF файрволла: http://www.undeadly.org/cgi?action=article&sid=20060927091645 ну и https://www.freebsd.org/cgi/man.cgi?query=pf.conf<br> https://www.opennet.ru/openforum/vsluhforumID1/97115.html#3 Sat, 27 Jan 2018 18:30:57 GMT <br>&gt; Почему PF до сих пор хранит состояния с этим IP-адресом (ESTABLISHED:ESTABLISHED)? Как <br>&gt; так получается, что IP-адрес давно умер, а записи о нём переполняют <br>&gt; таблицу состояний?<br><br>соединение не было закрыто штатным для TCP образом (не было FIN/RST), и будет висеть пока не отвалится по таймауту, это сутки по дефолту.<br>man pf.conf в районе set timeout и про адаптивные таймауты.<br><br> https://www.opennet.ru/openforum/vsluhforumID1/97115.html#2 Sat, 27 Jan 2018 07:49:53 GMT &gt; где правила PF? таблицы используете в правилах?<br><br>Таблицы использую. А это может повлиять на таблицу состояний?<br><br>int_if="hn0"<br>ext_if="hn1"<br>guest_if="hn2"<br>vpn_if="{ ng0 ng1 ng2 ng3 ng4 ng5 ng6 ng7 ng8 ng9 }"<br>hypervserver="10.1.1.254"<br>tserver="10.1.1.101"<br>dbserver="10.1.1.100"<br>smallserver="10.1.1.98"<br>hypervsupero="10.1.1.1"<br>1c_virtual="10.1.1.2"<br>office4="95.95.95.95"<br>office2="94.94.94.94"<br>timeserver="13.79.239.69"<br>ftpserver="96.96.96.96"<br>testserver="89.89.89.89"<br><br>table &lt;lan_net&gt; { 10.1.1.0/24, !$1c_virtual, !$tserver, !$dbserver, !$hypervserver, !$smallserver }<br>table &lt;eset_servers&gt; { 91.228.166.13 91.228.166.14 91.228.166.15 91.228.166.16 91.228.167.132 91.228.167.133 38.90.226.36 38.90.226.37 38.90.226.38 38.90.226.39 91.228.166.88 38.90.226.40 91.228.167.26 91.228.167.21 188.225.81.21 119.29.72.159 41.71.77.123 }<br>table &lt;liga_servers&gt; { 193.17.46.21 }<br>table &lt;medoc_servers&gt; { 212.90.186.150 212.90.165.230 212.90.165.228 185.149.40.57 212.90.172.234 213.156.90.132 213.156.90.131 217.76.198 https://www.opennet.ru/openforum/vsluhforumID1/97115.html#1 Fri, 26 Jan 2018 21:02:06 GMT где правила PF? таблицы используете в правилах?<br>