免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 操作系统 BSD ipfw+dynamic丢包严重
最近访问板块 发新帖
查看: 3753 | 回复: 8
打印 上一主题 下一主题

ipfw+dynamic丢包严重 [复制链接]

就不改

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2011-01-23 15:52 |只看该作者 |倒序浏览
freebsd8.1,ping的时候丢包严重dmesg显示下面信息
Limiting open port RST response from 427 to 200 packets/sec
ipfw: ipfw_install_state: Too many dynamic rules
ipfw: ipfw_install_state: Too many dynamic rules
ipfw: ipfw_install_state: Too many dynamic rules
lsstarboy

论坛徽章:
54
2017金鸡报晓 日期:2017-02-08 10:39:42操作系统版块每日发帖之星 日期:2016-03-08 06:20:00操作系统版块每日发帖之星 日期:2016-03-07 06:20:00操作系统版块每日发帖之星 日期:2016-02-22 06:20:00操作系统版块每日发帖之星 日期:2016-01-29 06:20:00操作系统版块每日发帖之星 日期:2016-01-27 06:20:00操作系统版块每日发帖之星 日期:2016-01-20 06:20:00操作系统版块每日发帖之星 日期:2016-01-06 06:20:0015-16赛季CBA联赛之江苏 日期:2015-12-21 20:00:24操作系统版块每日发帖之星 日期:2015-12-21 06:20:00IT运维版块每日发帖之星 日期:2015-11-17 06:20:002015亚冠之广州恒大 日期:2015-11-12 10:58:02
2 [报告]
发表于 2011-01-23 16:29 |只看该作者
第一个提示,设置tcp和udp的blackhole
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1

如果还出,可能是网卡的提示了。我以前用3com905 XL 的网卡,一直出这错误,重新编译了xl的驱动才解决。


ipfw: ipfw_install_state: Too many dynamic rules


修改两个内核参数:
net.inet.ip.fw.dyn_max: 1048576
net.inet.ip.fw.dyn_buckets: 65535

设置后,如果还显示上面那句话,说明你的网络确实太繁忙了,达到100万条连接不容易。
提醒:如果设置完死机的话,老老实实把第一个参数调成65535。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
就不改

论坛徽章:
0
3 [报告]
发表于 2011-01-23 16:50 |只看该作者
还有个问题,为什么ping 127.0.0.1,不能匹配allow ip from me to any keep-state?
就是ping本地也ping不能
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
lsstarboy

论坛徽章:
54
2017金鸡报晓 日期:2017-02-08 10:39:42操作系统版块每日发帖之星 日期:2016-03-08 06:20:00操作系统版块每日发帖之星 日期:2016-03-07 06:20:00操作系统版块每日发帖之星 日期:2016-02-22 06:20:00操作系统版块每日发帖之星 日期:2016-01-29 06:20:00操作系统版块每日发帖之星 日期:2016-01-27 06:20:00操作系统版块每日发帖之星 日期:2016-01-20 06:20:00操作系统版块每日发帖之星 日期:2016-01-06 06:20:0015-16赛季CBA联赛之江苏 日期:2015-12-21 20:00:24操作系统版块每日发帖之星 日期:2015-12-21 06:20:00IT运维版块每日发帖之星 日期:2015-11-17 06:20:002015亚冠之广州恒大 日期:2015-11-12 10:58:02
4 [报告]
发表于 2011-01-23 17:50 |只看该作者
me应该不包括127.0.0.1吧!
ipfw的man中只说:

matches any IP address configured on an interface in the system.

是不是说只匹配系统中配置的IP地址,而127.0.0.1是默认的本地地址。我也弄不准,等大牛来解释。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
就不改

论坛徽章:
0
5 [报告]
发表于 2011-01-23 17:58 |只看该作者
就算不匹配,我还有一句allow all from any to any via lo0啊,这个也不匹,真是郁闷了
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
就不改

论坛徽章:
0
6 [报告]
发表于 2011-01-23 23:14 |只看该作者
:wink:谢谢lsstarboy
加上
net.inet.ip.fw.dyn_max: 1048576
net.inet.ip.fw.dyn_buckets: 65535

问题解决,看了一下net.inet.ip.fw.dyn_count高达2万5千多
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
lsstarboy

论坛徽章:
54
2017金鸡报晓 日期:2017-02-08 10:39:42操作系统版块每日发帖之星 日期:2016-03-08 06:20:00操作系统版块每日发帖之星 日期:2016-03-07 06:20:00操作系统版块每日发帖之星 日期:2016-02-22 06:20:00操作系统版块每日发帖之星 日期:2016-01-29 06:20:00操作系统版块每日发帖之星 日期:2016-01-27 06:20:00操作系统版块每日发帖之星 日期:2016-01-20 06:20:00操作系统版块每日发帖之星 日期:2016-01-06 06:20:0015-16赛季CBA联赛之江苏 日期:2015-12-21 20:00:24操作系统版块每日发帖之星 日期:2015-12-21 06:20:00IT运维版块每日发帖之星 日期:2015-11-17 06:20:002015亚冠之广州恒大 日期:2015-11-12 10:58:02
7 [报告]
发表于 2011-01-24 17:07 |只看该作者
回复 5# 就不改


你哪个地方配置有问题了吧!是不是内核中把lo给去掉了?
我的显示正常。

ipfw add 10 allow log logamount 200 ip from any to any via lo0


ping -c 10  127.0.0.1
tail -n 60 /var/log/security

......
Jan 24 17:25:04 home kernel: ipfw: 10 Accept ICMP:8.0 127.0.0.1 127.0.0.1 out via lo0
Jan 24 17:25:04 home kernel: ipfw: 10 Accept ICMP:8.0 127.0.0.1 127.0.0.1 in via lo0
Jan 24 17:25:04 home kernel: ipfw: 10 Accept ICMP:0.0 127.0.0.1 127.0.0.1 out via lo0
Jan 24 17:25:04 home kernel: ipfw: 10 Accept ICMP:0.0 127.0.0.1 127.0.0.1 in via lo0
Jan 24 17:25:05 home kernel: ipfw: 10 Accept ICMP:8.0 127.0.0.1 127.0.0.1 out via lo0
Jan 24 17:25:05 home kernel: ipfw: 10 Accept ICMP:8.0 127.0.0.1 127.0.0.1 in via lo0
Jan 24 17:25:05 home kernel: ipfw: 10 Accept ICMP:0.0 127.0.0.1 127.0.0.1 out via lo0
Jan 24 17:25:05 home kernel: ipfw: 10 Accept ICMP:0.0 127.0.0.1 127.0.0.1 in via lo0
Jan 24 17:25:06 home kernel: ipfw: 10 Accept ICMP:8.0 127.0.0.1 127.0.0.1 out via lo0
Jan 24 17:25:06 home kernel: ipfw: 10 Accept ICMP:8.0 127.0.0.1 127.0.0.1 in via lo0
Jan 24 17:25:06 home kernel: ipfw: 10 Accept ICMP:0.0 127.0.0.1 127.0.0.1 out via lo0
Jan 24 17:25:06 home kernel: ipfw: 10 Accept ICMP:0.0 127.0.0.1 127.0.0.1 in via lo0
Jan 24 17:25:07 home kernel: ipfw: 10 Accept ICMP:8.0 127.0.0.1 127.0.0.1 out via lo0
Jan 24 17:25:07 home kernel: ipfw: 10 Accept ICMP:8.0 127.0.0.1 127.0.0.1 in via lo0
Jan 24 17:25:07 home kernel: ipfw: 10 Accept ICMP:0.0 127.0.0.1 127.0.0.1 out via lo0
Jan 24 17:25:07 home kernel: ipfw: 10 Accept ICMP:0.0 127.0.0.1 127.0.0.1 in via lo0
Jan 24 17:25:08 home kernel: ipfw: 10 Accept ICMP:8.0 127.0.0.1 127.0.0.1 out via lo0
Jan 24 17:25:08 home kernel: ipfw: 10 Accept ICMP:8.0 127.0.0.1 127.0.0.1 in via lo0
Jan 24 17:25:08 home kernel: ipfw: 10 Accept ICMP:0.0 127.0.0.1 127.0.0.1 out via lo0
Jan 24 17:25:08 home kernel: ipfw: 10 Accept ICMP:0.0 127.0.0.1 127.0.0.1 in via lo0
Jan 24 17:25:09 home kernel: ipfw: 10 Accept ICMP:8.0 127.0.0.1 127.0.0.1 out via lo0
Jan 24 17:25:09 home kernel: ipfw: 10 Accept ICMP:8.0 127.0.0.1 127.0.0.1 in via lo0
Jan 24 17:25:09 home kernel: ipfw: 10 Accept ICMP:0.0 127.0.0.1 127.0.0.1 out via lo0
Jan 24 17:25:09 home kernel: ipfw: 10 Accept ICMP:0.0 127.0.0.1 127.0.0.1 in via lo0
Jan 24 17:25:10 home kernel: ipfw: 10 Accept ICMP:8.0 127.0.0.1 127.0.0.1 out via lo0
Jan 24 17:25:10 home kernel: ipfw: 10 Accept ICMP:8.0 127.0.0.1 127.0.0.1 in via lo0
Jan 24 17:25:10 home kernel: ipfw: 10 Accept ICMP:0.0 127.0.0.1 127.0.0.1 out via lo0
Jan 24 17:25:10 home kernel: ipfw: 10 Accept ICMP:0.0 127.0.0.1 127.0.0.1 in via lo0
Jan 24 17:25:11 home kernel: ipfw: 10 Accept ICMP:8.0 127.0.0.1 127.0.0.1 out via lo0
Jan 24 17:25:11 home kernel: ipfw: 10 Accept ICMP:8.0 127.0.0.1 127.0.0.1 in via lo0
Jan 24 17:25:11 home kernel: ipfw: 10 Accept ICMP:0.0 127.0.0.1 127.0.0.1 out via lo0
Jan 24 17:25:11 home kernel: ipfw: 10 Accept ICMP:0.0 127.0.0.1 127.0.0.1 in via lo0
Jan 24 17:25:12 home kernel: ipfw: 10 Accept ICMP:8.0 127.0.0.1 127.0.0.1 out via lo0
Jan 24 17:25:12 home kernel: ipfw: 10 Accept ICMP:8.0 127.0.0.1 127.0.0.1 in via lo0
Jan 24 17:25:12 home kernel: ipfw: 10 Accept ICMP:0.0 127.0.0.1 127.0.0.1 out via lo0
Jan 24 17:25:12 home kernel: ipfw: 10 Accept ICMP:0.0 127.0.0.1 127.0.0.1 in via lo0
Jan 24 17:25:13 home kernel: ipfw: 10 Accept ICMP:8.0 127.0.0.1 127.0.0.1 out via lo0
Jan 24 17:25:13 home kernel: ipfw: 10 Accept ICMP:8.0 127.0.0.1 127.0.0.1 in via lo0
Jan 24 17:25:13 home kernel: ipfw: 10 Accept ICMP:0.0 127.0.0.1 127.0.0.1 out via lo0
Jan 24 17:25:13 home kernel: ipfw: 10 Accept ICMP:0.0 127.0.0.1 127.0.0.1 in via lo0


显示第条ping四次通过lo0。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
lsstarboy

论坛徽章:
54
2017金鸡报晓 日期:2017-02-08 10:39:42操作系统版块每日发帖之星 日期:2016-03-08 06:20:00操作系统版块每日发帖之星 日期:2016-03-07 06:20:00操作系统版块每日发帖之星 日期:2016-02-22 06:20:00操作系统版块每日发帖之星 日期:2016-01-29 06:20:00操作系统版块每日发帖之星 日期:2016-01-27 06:20:00操作系统版块每日发帖之星 日期:2016-01-20 06:20:00操作系统版块每日发帖之星 日期:2016-01-06 06:20:0015-16赛季CBA联赛之江苏 日期:2015-12-21 20:00:24操作系统版块每日发帖之星 日期:2015-12-21 06:20:00IT运维版块每日发帖之星 日期:2015-11-17 06:20:002015亚冠之广州恒大 日期:2015-11-12 10:58:02
8 [报告]
发表于 2011-01-24 17:10 |只看该作者
回复 6# 就不改

2万5不多,有的p2p软件就能跑数千个连接。

如果没有p2p的话,你的网络应该挺大啊,单纯上网,基本上一台机器不到10个连接。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
就不改

论坛徽章:
0
9 [报告]
发表于 2011-01-25 15:41 |只看该作者

嗯,是挺大的
ping不通也是net.inet.ip.fw.dyn_max太小造成的,改了PING没有问题
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP