web迅雷--超级恐怖

ShadowStar

我这里使用的Dawning的防火墙也遇到了同样的问题
防火墙采用的就是Linux系统，2.4.18内核
屏蔽掉69-65535端口的UDP包后就没问题了。

怀疑是内核的问题，对于UDP小包处理不好

ssffzz1

原帖由 ShadowStar 于 2007-5-17 18:43 发表于 41楼  
我这里使用的Dawning的防火墙也遇到了同样的问题
防火墙采用的就是Linux系统，2.4.18内核
屏蔽掉69-65535端口的UDP包后就没问题了。

怀疑是内核的问题，对于UDP小包处理不好

屏蔽掉这么多的端口还有什么可以用啊。
建议LZ用2.6的内核看看。

ShadowStar

对于屏蔽UDP来说，影响不是很大，但确实有，主要是一些网络语音软件。
原来使用过RHEL AS4的服务器做NAT，没有问题，2.6.69的内核。

respark

我用的是2.6.9的内核，内核已经调优过的，可以有6万以上的并发联接（是经过测试的）机器是双至强的，网卡是intel千兆的，出口带宽是10M，3个网卡，内部分二个网段，我这也有过一样的问题，有些版本的迅雷一下载就会导致在这个网段ping 网关很大，甚至完全丢包，但另一网段很正常，网关也很正常，cpu不高，负载比平常大一些，网络带宽占用不到2M，用讯雷的那台机的连接数不到2万，有时不到1万都会造成丢包，我怀疑是迅雷造成交换机负载太高而丢包,并非防火墙性能不够

[ 本帖最后由 respark 于 2007-5-18 09:40 编辑 ]

aleng

我也建议用最新内核的版本实验，最好是rhel5.

ahlai

我的路由器为linksys wrt54g v2,
局域网只有8台计算机，
adsl 4M
限制局域网用户每ip最大链接数为30
局域网有个同志特别变态，
他只要一用迅雷，
马上ping值就会大于1000,
丢包率在25%左右，
查看一下链接发现用迅雷的同志udp链接数有1000多，
当我关闭forward链上的udp协议后一切正常了，
可是很多网络软件都不能正常工作了，
如网络游戏，网络电视，等，
关闭udp不是解决问题的关键啊，

在风中飘荡

早上用2.6内核再次做了试验
测试环境如下：
客户机（2003、lan）---linux（as4、网关eth1:lan eth0 wan）---intenet
出口：网通光纤10M
linux网关配置
cpu：Intel(R) Pentium(R) 4 CPU 1.80GHz
256M内存
网卡：e100
操作系统：as4
内核：2.6.9-5.EL
iptables版本：iptables v1.2.11
加载模块及配置：
modprobe ip_iptables
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 524388 > /proc/sys/net/ipv4/netfilter/ip_conntrack_max
echo 3600 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
iptables -t nat -I POSTROUTING -s lan_ip -j SNAT --to wan_ip

客户机：
Celeron 2.4GHz
512MB内存
Realtek RTL8139
windows 2003
IE6
web迅雷版本：1.7.2.107
web迅雷线程：10个
未开启web迅雷
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_count ＝48
开启web迅雷后，连接数慢慢大上去，高峰维持在
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_count ＝10122
此时linux网关cpu状态无大于3％的进程，基本无负载，此时ping掉包、和2.4内核不一样的是ping值不大于100ms，但timeout频繁出现，loss 37％，此时上网可以，sina延时15秒左右，web迅雷维持在100-200K/s水平。

platinum

很想看看你的 iptables-save 的内容，可惜你始终没有贴出来……

在风中飘荡

用了as4的默认链，只有一条规则iptables -t nat -I POSTROUTING -s lan_ip -j SNAT --to wan_ip

platinum

贴一下 uname -a