Автор Тема: DROP пакетов... (Прочитано 6479 раз)

TrEK · « : 19 Марта 2013, 19:28:45 »

В следствии чего дропаются пакеты ?

gate kernel: [434791.263659] nf_conntrack: table full, dropping packet.

Пользователь решил продолжить мысль 19 Марта 2013, 19:36:07:

увеличил в 8 раз...

Код: [Выделить]

debian: /# echo "net.netfilter.nf_conntrack_max=1048576" >> /etc/sysctl.conf  # Увеличили размер таблиц в 8 раз
debian: /# sysctl -p  # Загружаем настройки ядра

Код: [Выделить]

debian:/# sysctl -a | grep conntrack_max
net.netfilter.nf_conntrack_max = 1048576
net.nf_conntrack_max = 1048576

AnrDaemon · « **Ответ #1 :** 20 Марта 2013, 01:40:07 »

Цитата: TrEK от 19 Марта 2013, 19:28:45

В следствии чего дропаются пакеты ?

Дропаются из-за переполнения таблицы. А почему переполняется таблица - надо смотреть правила и статистику, может, вас досят...

TrEK · « **Ответ #2 :** 20 Марта 2013, 02:48:15 »

Цитата: AnrDaemon от 20 Марта 2013, 01:40:07

Цитата: TrEK от 19 Марта 2013, 19:28:45
В следствии чего дропаются пакеты ?
Дропаются из-за переполнения таблицы. А почему переполняется таблица - надо смотреть правила и статистику, может, вас досят...

вот тут и назрел вопрос.... каким образом запустить проверку на всякие досс атаки и прочее.. флуд и т.д. чтоб мониторинг все проверял.. и либо фиксил либо оповещал об этом.

AnrDaemon · « **Ответ #3 :** 20 Марта 2013, 02:57:31 »

Вы серьёзно думаете, что я стал бы говорить, что надо смотреть правила, статистику и анализировать всё это, если бы была волшебная голубая кнопка "сделать всё зашибись"?

TrEK · « **Ответ #4 :** 20 Марта 2013, 03:01:06 »

по крайней мере вместо этого всего, можно было бы хотя бы в iptraf направить....

AnrDaemon · « **Ответ #5 :** 20 Марта 2013, 03:21:16 »

Если вам ближе iptraf - ради бога, я не запрещаю. Но это не единственное средство анализа трафика. И далеко не всегда самое полезное.

TrEK · « **Ответ #6 :** 20 Марта 2013, 12:02:56 »

Ну вот , уже ближе к теме )
И теперь я знаю что есть еще какое-то чудо-средство.

AnrDaemon · « **Ответ #7 :** 20 Марта 2013, 13:38:49 »

Чудо-средство - это голова и руки. Всё остальное - обычные инструменты. Впрочем, уже флуд пошел.
Если вы не намерены продолжать тему в конструктивном ключе - будет лучше её закрыть.

TrEK · « **Ответ #8 :** 20 Марта 2013, 13:43:05 »

дроп пакетов все равно продолжается... только просто уже сообщений никаких нету в логи.

AnrDaemon · « **Ответ #9 :** 20 Марта 2013, 18:28:29 »

Ещё раз:
1. Анализ настроек netfilter
2. Анализ задач, решаемых сервером.
3. Сравнение первого со вторым.
4. Возможно, коррекция первого под второе.
5. Возможно, коррекция настроек сетевой подсистемы второго под конкретные задачи.
6. Лог всего, что прорывается через первое и мешает работе второго. Фильтрация rsyslogd очень, очень полезна в этом.

TrEK · « **Ответ #10 :** 22 Марта 2013, 13:30:03 »

Цитата: AnrDaemon от 20 Марта 2013, 18:28:29

Ещё раз:
1. Анализ настроек netfilter
2. Анализ задач, решаемых сервером.
3. Сравнение первого со вторым.
4. Возможно, коррекция первого под второе.
5. Возможно, коррекция настроек сетевой подсистемы второго под конкретные задачи.
6. Лог всего, что прорывается через первое и мешает работе второго. Фильтрация rsyslogd очень, очень полезна в этом.

Пакеты которые дропает iptables не будут отображаться в :

Код: [Выделить]

root@gate:/etc/stargazer# ifconfig eth1 && ifconfig eth0 && date
eth1      Link encap:Ethernet  HWaddr 00:1b:21:a1:f2:78
          inet addr:77.88.207.114  Bcast:77.88.207.119  Mask:255.255.255.248
          inet6 addr: fe80::21b:21ff:fea1:f278/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:11579856159 errors:0 dropped:23785549 overruns:0 frame:0
          TX packets:7882396092 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:13397261608138 (13.3 TB)  TX bytes:2163093568068 (2.1 TB)

eth0      Link encap:Ethernet  HWaddr 00:1b:21:a1:ef:e1
          inet addr:192.168.180.5  Bcast:192.168.180.7  Mask:255.255.255.252
          inet6 addr: fe80::21b:21ff:fea1:efe1/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:8648972953 errors:2 dropped:1839753 overruns:0 frame:1
          TX packets:12204848639 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2259394753587 (2.2 TB)  TX bytes:13468635657202 (13.4 TB)

п'ятниця, 22 березня 2013 11:26:28 +0200
root@gate:/etc/stargazer# ifconfig eth1 && ifconfig eth0 && date
eth1      Link encap:Ethernet  HWaddr 00:1b:21:a1:f2:78
          inet addr:77.88.207.114  Bcast:77.88.207.119  Mask:255.255.255.248
          inet6 addr: fe80::21b:21ff:fea1:f278/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:11580062082 errors:0 dropped:23785789 overruns:0 frame:0
          TX packets:7882519105 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:13397512394301 (13.3 TB)  TX bytes:2163122452520 (2.1 TB)

eth0      Link encap:Ethernet  HWaddr 00:1b:21:a1:ef:e1
          inet addr:192.168.180.5  Bcast:192.168.180.7  Mask:255.255.255.252
          inet6 addr: fe80::21b:21ff:fea1:efe1/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:8649099837 errors:2 dropped:1839753 overruns:0 frame:1
          TX packets:12205056745 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2259424269307 (2.2 TB)  TX bytes:13468887752211 (13.4 TB)

п'ятниця, 22 березня 2013 11:26:37 +0200
root@gate:/etc/stargazer# ifconfig eth1 && ifconfig eth0 && date
eth1      Link encap:Ethernet  HWaddr 00:1b:21:a1:f2:78
          inet addr:77.88.207.114  Bcast:77.88.207.119  Mask:255.255.255.248
          inet6 addr: fe80::21b:21ff:fea1:f278/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:11580304576 errors:0 dropped:23786155 overruns:0 frame:0
          TX packets:7882662183 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:13397808684625 (13.3 TB)  TX bytes:2163154099270 (2.1 TB)

eth0      Link encap:Ethernet  HWaddr 00:1b:21:a1:ef:e1
          inet addr:192.168.180.5  Bcast:192.168.180.7  Mask:255.255.255.252
          inet6 addr: fe80::21b:21ff:fea1:efe1/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:8649247345 errors:2 dropped:1839753 overruns:0 frame:1
          TX packets:12205300322 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2259456661071 (2.2 TB)  TX bytes:13469185461935 (13.4 TB)

п'ятниця, 22 березня 2013 11:26:48 +0200
root@gate:/etc/stargazer# vnstat -l -i eth1
Monitoring eth1...    (press CTRL-C to stop)

   rx:   226.08 Mbit/s 24262 p/s          tx:    26.28 Mbit/s 14541 p/s^C

дроп происходит только на внешнем интерфейсе, в сторону провайдера... сетевые меняли местами... дроп продолжается на внешнем интерфейсе, и при чем уже другой сетевой, которая изначально смотрела в СЕТЬ.

AnrDaemon · « **Ответ #11 :** 22 Марта 2013, 16:51:25 »

iptables сам умеет логировать...

TrEK · « **Ответ #12 :** 22 Марта 2013, 19:02:26 »

простите не понял

AnrDaemon · « **Ответ #13 :** 22 Марта 2013, 19:28:09 »

man iptables | grep -A7 LOG

xeon_greg · « **Ответ #14 :** 24 Марта 2013, 13:39:02 »

Цитата: TrEK от 22 Марта 2013, 13:30:03

Цитата: AnrDaemon от 20 Марта 2013, 18:28:29
Ещё раз:
1. Анализ настроек netfilter
2. Анализ задач, решаемых сервером.
3. Сравнение первого со вторым.
4. Возможно, коррекция первого под второе.
5. Возможно, коррекция настроек сетевой подсистемы второго под конкретные задачи.
6. Лог всего, что прорывается через первое и мешает работе второго. Фильтрация rsyslogd очень, очень полезна в этом.

Пакеты которые дропает iptables не будут отображаться в :

Код: [Выделить]
root@gate:/etc/stargazer# ifconfig eth1 && ifconfig eth0 && date eth1 Link encap:Ethernet HWaddr 00:1b:21:a1:f2:78 inet addr:77.88.207.114 Bcast:77.88.207.119 Mask:255.255.255.248 inet6 addr: fe80::21b:21ff:fea1:f278/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:11579856159 errors:0 dropped:23785549 overruns:0 frame:0 TX packets:7882396092 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:13397261608138 (13.3 TB) TX bytes:2163093568068 (2.1 TB) eth0 Link encap:Ethernet HWaddr 00:1b:21:a1:ef:e1 inet addr:192.168.180.5 Bcast:192.168.180.7 Mask:255.255.255.252 inet6 addr: fe80::21b:21ff:fea1:efe1/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:8648972953 errors:2 dropped:1839753 overruns:0 frame:1 TX packets:12204848639 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:2259394753587 (2.2 TB) TX bytes:13468635657202 (13.4 TB) п'ятниця, 22 березня 2013 11:26:28 +0200 root@gate:/etc/stargazer# ifconfig eth1 && ifconfig eth0 && date eth1 Link encap:Ethernet HWaddr 00:1b:21:a1:f2:78 inet addr:77.88.207.114 Bcast:77.88.207.119 Mask:255.255.255.248 inet6 addr: fe80::21b:21ff:fea1:f278/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:11580062082 errors:0 dropped:23785789 overruns:0 frame:0 TX packets:7882519105 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:13397512394301 (13.3 TB) TX bytes:2163122452520 (2.1 TB) eth0 Link encap:Ethernet HWaddr 00:1b:21:a1:ef:e1 inet addr:192.168.180.5 Bcast:192.168.180.7 Mask:255.255.255.252 inet6 addr: fe80::21b:21ff:fea1:efe1/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:8649099837 errors:2 dropped:1839753 overruns:0 frame:1 TX packets:12205056745 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:2259424269307 (2.2 TB) TX bytes:13468887752211 (13.4 TB) п'ятниця, 22 березня 2013 11:26:37 +0200 root@gate:/etc/stargazer# ifconfig eth1 && ifconfig eth0 && date eth1 Link encap:Ethernet HWaddr 00:1b:21:a1:f2:78 inet addr:77.88.207.114 Bcast:77.88.207.119 Mask:255.255.255.248 inet6 addr: fe80::21b:21ff:fea1:f278/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:11580304576 errors:0 dropped:23786155 overruns:0 frame:0 TX packets:7882662183 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:13397808684625 (13.3 TB) TX bytes:2163154099270 (2.1 TB) eth0 Link encap:Ethernet HWaddr 00:1b:21:a1:ef:e1 inet addr:192.168.180.5 Bcast:192.168.180.7 Mask:255.255.255.252 inet6 addr: fe80::21b:21ff:fea1:efe1/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:8649247345 errors:2 dropped:1839753 overruns:0 frame:1 TX packets:12205300322 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:2259456661071 (2.2 TB) TX bytes:13469185461935 (13.4 TB) п'ятниця, 22 березня 2013 11:26:48 +0200 root@gate:/etc/stargazer# vnstat -l -i eth1 Monitoring eth1... (press CTRL-C to stop) rx: 226.08 Mbit/s 24262 p/s tx: 26.28 Mbit/s 14541 p/s^C
дроп происходит только на внешнем интерфейсе, в сторону провайдера... сетевые меняли местами... дроп продолжается на внешнем интерфейсе, и при чем уже другой сетевой, которая изначально смотрела в СЕТЬ.

а заключение о том что именно iptables валит пакеты, принято на основе кол-ва сброшенных пакетов в выводе ifconfig ?
и

Код: [Выделить]

iptables-save -c покажи

Форум русскоязычного сообщества Ubuntu

Автор Тема: DROP пакетов... (Прочитано 6479 раз)

TrEK

DROP пакетов...

AnrDaemon

Re: DROP пакетов...

TrEK

Re: DROP пакетов...

AnrDaemon

Re: DROP пакетов...

TrEK

Re: DROP пакетов...

AnrDaemon

Re: DROP пакетов...

TrEK

Re: DROP пакетов...

AnrDaemon

Re: DROP пакетов...

TrEK

Re: DROP пакетов...

AnrDaemon

Re: DROP пакетов...

TrEK

Re: DROP пакетов...

AnrDaemon

Re: DROP пакетов...

TrEK

Re: DROP пакетов...

AnrDaemon

Re: DROP пакетов...

xeon_greg

Re: DROP пакетов...