ＬＩＮＵＸ做代理服务器，８００个客户端，经常出现系统崩溃

pengyl

一个校园宿舍网，大概有８００台左右的客户端，客户端有很多感染震荡波、冲击波等病毒的机器。用一台Ｐ４２．８/512/内存的机器安装ＲＨ９，做ＮＡＴ，做ＭＡＣ地址绑定，并封掉了已知的病毒攻击的端口，像１３５－１３９，４４５，４４４４等，还屏掉了ＩＣＭＰ包。
目前有很多客户端上不了网或上网速度很慢，ＲＨ９还会经常出现死机状况。请问大家有什么办法能够解决这８００台机器稳定上网的问题？代理服务器应当如何修改，或是有什么其它的软硬件解决方案，请赐教。

附防火墙脚本
echo 1 >; /proc/sys/net/ipv4/ip_forward
echo 0 >; /proc/sys/net/ipv4/icmp_echo_ignore_all
modprobe ip_tables
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
iptables -F INPUT
iptables -F FORWARD
iptables -F POSTROUTING -t nat
iptables -t nat -F
iptables -P FORWARD DROP
iptables -A FORWARD -s 192.168.0.0/16 -j ACCEPT
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/16 -j SNAT --to x.x.x.x
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -A FORWARD -s 0/0 -d 0/0 -j ACCEPT
iptables -A INPUT -p icmp -j DROP
#/sbin/iptables -A FORWARD -p tcp -d 0.0.0.0/24 --dport smtp -i eth0 -j REJECT
#iptables  -t filter -A INPUT -j REJECT  -p tcp --dport smtp
#iptables  -t filter -A OUTPUT -j REJECT  -p tcp --dport smtp
iptables -A FORWARD -p tcp --dport 3300 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 3550 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 5500 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 7000 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 7100 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 5100 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 5000 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 7200 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 16300 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 16301 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 16302 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 6000 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 5600 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 4900 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 10000 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 44405 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 55557 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 44400 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 55960 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 55902 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 55962 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 55970 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 55901 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 7003 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 27015 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 27016 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 5555 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 4444 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 6666 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 7777 -o eth0 -j DROP
iptables -A FORWARD -P tcp --dport 135 -o eth0 -j DROP
iptables -A FORWARD -P tcp --dport 136 -o eth0 -j DROP
iptables -A FORWARD -P tcp --dport 137 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 138 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 139 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 3127 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 1433 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 1434 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 445 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 5800 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 5900 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 6667 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 4444 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 69 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 593 -o eth0 -j DROP
UDP 也屏掉了同样了的端口

pengyl

[quote]原帖由 "leminsky"]linux作代理带800用户困难点，实际使用中感觉超过300用户，linux就可能顶不住了，建议采用专门的接入设备。[/quote 发表：


什么专用设备可以解决呢？

pengyl

原帖由 "platinum" 发表：

有人测试过，2000点，没问题（仅限NAT，无SQUID），而且现在还在跑
硬件设备是一台价值七八千的PC

那么代理服务器本身能带这么多客户端了，主要是客户端没办法控制网络病毒太多，没有办法一一解决，是不是防火墙策略有问题？

pengyl

原帖由 "hongfengyue" 发表：
我建议先查看系统资源的使用情况，看看系统的瓶颈是否在系统资源上。例如使用vmstat ,iostat等命令。
然后查看是否是不是网络速度的瓶颈。
个人建议不要使用Redhat的系统，如果可以使用lfs比较好。

个人建议。
..........

   procs                      memory      swap          io     system      cpu
r  b  w   swpd   free   buff  cache   si   so    bi    bo   in    cs us sy id
0  0  0      0 469196   2932  14444    0    0     2     0 2812    15  0  3 97
有没有问题呢　

pengyl

原帖由 "qingfeng18" 发表：
不管怎么说，强烈建议楼主更改规则，其实你只是要做一个nat，规则是非常简单的，设置好后测试一下，应该问题不大。

1 清除自定义链（你那个脚本好像不用这样做，因为你没有定义），
2 清空所有规则（包括进、出?.........

麻烦你能写下具体的规则吗，因为我的规则都是抄过来用的，不是对linux十分懂，麻烦你了，谢谢先！
还有防火墙规则是要在ＮＡＴ规则之前，才有效，对吗？

pengyl

原帖由 "bili" 发表：
我们单位也用的LINUX做NAT。问题也是多多。
  
  做NAT的服务器是HP Proliant ML570,双P III Xeon 700/1M ,2G mem.连接了50个B段，3个C段。实际连接的用户数大概在3000左右。一共有50个学校通过NAT上网。实际使用?.........

拿来用用先。感谢，再次感谢！
要是能有人解释一下最好。

pengyl

先谢谢大家，经过对大家的意见综合考虑，我觉着二层交换机＋端口过滤＋LINUX代理服务器这种解决方案对于这个网络情况非常适合，因为投入很小（用了一台国产的二层交换机带端口过滤功能，锐捷的2126G），而且从使用状况来看基本解决了问题   
另外对于采TC进行流量控制的解决方案也非常感兴趣，等做几个实验，成功后应用一下。