форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / FreeBSD)
Изначальное сообщение		[ Отслеживать ]

"PF timeouts и sysctl net.inet"	+/–
Сообщение от Ramirez on 17-Май-11, 14:15
Доброго всем дня. помогите разобраться или ткните в ман, если я плохо искал, пожалуйста. есть FreeBSD 8, фильтр PF. у него есть таймауты: #pfctl -st tcp.first                    30s tcp.opening                   5s tcp.established           18000s tcp.closing                  60s tcp.finwait                  30s tcp.closed                   30s tcp.tsdiff                   10s <cut> эти тамауты как-то связаны/перекрывают/коррелируют с таймаутами tcp-стека самой системы? net.inet.flowtable.tcp_expire: 86400 net.inet.flowtable.fin_wait_expire: 600 net.inet.flowtable.udp_expire: 300 net.inet.flowtable.syn_expire: 300 net.inet.tcp.keepintvl: 5000 net.inet.tcp.keepinit: 75000 net.inet.tcp.finwait2_timeout: 60000 net.inet.tcp.fast_finwait2_recycle: 1 net.inet.tcp.msl: 5000 <etc> если sysctl более-менее описан, то инфа по таймаутам PF в основном в почтовых рассылках. тюнить их надо совместно (насколько я понимаю), а для этого надо понимать как они связаны. этой инфы найти не удалось. где об этом можно почитать? сорцы читать я не мастак, к сожалению. гугление не помогло. спасибо!
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "PF timeouts и sysctl net.inet"	+/–
Сообщение от artemrts (ok) on 17-Май-11, 21:44
>[оверквотинг удален] > net.inet.flowtable.udp_expire: 300 > net.inet.flowtable.syn_expire: 300 > net.inet.tcp.keepintvl: 5000 > net.inet.tcp.keepinit: 75000 > net.inet.tcp.finwait2_timeout: 60000 > net.inet.tcp.fast_finwait2_recycle: 1 > net.inet.tcp.msl: 5000 > <etc> > если sysctl более-менее описан, то инфа по таймаутам PF в основном в > почтовых рассылках. Неправду говорите http://www.openbsd.org/cgi-bin/man.cgi?query=pf.conf&apropos... Раздел OPTIONS А вообще, зачем оно вам надо? Пользуйтесь готовыми шаблонами set optimization
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "PF timeouts и sysctl net.inet"	+/–
	Сообщение от Ramirez on 18-Май-11, 23:45
	я наверное неудачно выразился. документацию я конечно читал (возможно недостаточно внимательно), и наиболее известные статьи (например http://home.nuug.no/~peter/pf/en/) тоже. из документации не всегда ясно как вычисляется то или иное значение, а, например, про tcp.tsdiff я вообще почти ничего толком не нашел. а озадачился я по одной простой причине: допустим, я накрутил таймауты PF. имеет-ли смысл потом крутить таймауты в sysctl? или они теряют смысл пока загружен и работает PF?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "PF timeouts и sysctl net.inet"	+/–
	Сообщение от artemrts (ok) on 19-Май-11, 14:01
	> я наверное неудачно выразился. документацию я конечно читал (возможно недостаточно внимательно), > и наиболее известные статьи (например http://home.nuug.no/~peter/pf/en/) тоже. > из документации не всегда ясно как вычисляется то или иное значение, а, > например, про tcp.tsdiff я вообще почти ничего толком не нашел. > а озадачился я по одной простой причине: допустим, я накрутил таймауты PF. > имеет-ли смысл потом крутить таймауты в sysctl? или они теряют смысл > пока загружен и работает PF? Поставьте pftop. Меняете, например, tcp.closed наблюдаете как поменялось значение. Я лично не меняю параметры систл.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "PF timeouts и sysctl net.inet"	+/–
	Сообщение от Ramirez on 20-Май-11, 01:41
	> Поставьте pftop. Меняете, например, tcp.closed наблюдаете как поменялось значение. да, я вобщем-то, этим и и занимаюсь. но думал, вдруг есть описание внятное... за совет - спасибо!
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема