|
2.4, Sw00p aka Jerom (?), 10:24, 10/06/2010 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +/– |
ну если эти параметры потюнить то вероятно выдержит
HASHSIZE = CONNTRACK_MAX / 8 = RAMSIZE (in bytes) / 131072 / (x / 32)
where x is the number of bits in a pointer (for example, 32 or 64 bits)
net.ipv4.ip_conntrack_max = 524288
net.ipv4.netfilter.ip_conntrack_max = 524288
net.ipv4.netfilter.ip_conntrack_buckets = 65536
пс: использую модуль string с порядка 60-ти проверками вроде норма нагрузка почти нулевая при 50 запросов в секунду
| |
|
3.5, pavlinux (ok), 21:04, 10/06/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
Можно потюнить, и малость разгрузить ...
iptable -N TCP_TABLES;
iptable -N SSH_TABLES;
iptables -A INPUT -p tcp -j TCP_TABLES;
iptables -I TCP_TABLES --dport 22 -j SSH_TABLES;
...
и т.д.
...
| |
|
4.9, Sw00p aka Jerom (?), 11:16, 16/06/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
кстате вот это значение net.ipv4.netfilter.ip_conntrack_max = 524288 (большущее) сбрасывается если iptables рестартовать и ставится дефолтовое.
| |
|
5.10, pavlinux (ok), 15:40, 16/06/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
>кстате вот это значение net.ipv4.netfilter.ip_conntrack_max = 524288 (большущее)
>сбрасывается если iptables рестартовать и ставится дефолтовое.
Было бы подозрительнее обратное.
| |
|
|
|
2.6, Sokol (??), 20:20, 13/06/2010 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +/– |
У меня на потоке 250 Мбит (400 Мбит если считать в обе стороны) загрузки от правила с recent практически не видно. Я помимо своих серверов, защищаю еще и внешние сервера от брутфорса ссх моими юзерами. Вот бы все так делали :)
| |
|
3.7, barab (?), 16:06, 14/06/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
250 mbit/sec трафика по SSH порту? или может быть 250 мегабит трафика зарпосов на открытие соединения по 22 порту?
| |
|
|
1.11, Андрей (??), 12:32, 02/10/2010 [ответить] [﹢﹢﹢] [ · · · ] [к модератору]
| +/– |
Ребята может подскажите что это может быть.
Обнуляю iptables, потом использую один из выше описаных методов. При этом начинают блокироватся абсолютно все пакеты хоть коннект и не превышает лимиты по блокировке.
Уже второй день трахаюсь с Iptables и вроде все правелньо, но почему то не работает.
Заранее благодарен за ответ)
| |
|