IP_conntrack_max 问题

zhou_rock

原帖由 platinum 于 2009-4-8 21:20 发表

ip(nf)_conntrack_tcp_timeout_established 主要是用来控制 conntrack 对 TCP 协议的状态跟踪 timeout 时间的
当 TCP 建立后，conntrack 的状态会标记为 ESTABLISHED，此时 conntrack 表中会有双向信息
TCP ...

谢谢这么详细的讲解,略明白一些了.

看来单纯做路由器的话,还是不启用ip_conntrack 模块的好.要不要调整的参数有好几个呢.
要把一个linux服务器做成一个性能不错的路由器要调整的参数还真不少.后面需要再研究详细一些了.

zhou_rock

白金大哥,还有一个问题就是在top中,看到ksoftirqd/0这个dd占用cpu的比例有时很高.而且当时网络性能很差,这个是否网络风暴引起的?还有没有其他的可能?在减少网络风暴方面白金大哥有没有更高的解决方案?谢谢

platinum

原帖由 zhou_rock 于 2009-4-8 21:52 发表
看来单纯做路由器的话,还是不启用ip_conntrack 模块的好.要不要调整的参数有好几个呢.

不是不启用的好，是一定不要启用
不是因为要调整很多参数，而是 conntrack 本身要对数据包进行状态检测和处理，很耗费 CPU，而这对于不做状态过滤的纯路由机制来说丝毫没有用处，所以不要开，开了反而有不好的结果

platinum

原帖由 zhou_rock 于 2009-4-8 22:13 发表
白金大哥,还有一个问题就是在top中,看到ksoftirqd/0这个dd占用cpu的比例有时很高.而且当时网络性能很差,这个是否网络风暴引起的?还有没有其他的可能?在减少网络风暴方面白金大哥有没有更高的解决方案?谢谢

这个一般是 netfilter 里面要处理的东西太多，跟不上收报的速度造成的
ksoftirqd 是内核里的软中断，他一般是由系统收包后转给 netfilter 处理时造成的，但也不排除收到告诉数据包的可能
如果出现了这种情况，可以利用下面的方法暂时降低负载
1、去掉 iptables 里没用的过滤规则，或者完全去掉（在不影响正常访问的情况下，安全暂时不考虑）
2、如果不是 NAT，那么关掉 nf_conntrack_ipv4(2.6.21+)、ip_conntrack_ipv4(2.6.21-) 或者 ip_conntrack(2.4)

cubzsd

原帖由 platinum 于 2009-4-8 20:46 发表

如果是纯 routing，不需要 conntrack 的话，性能可以提升很多
但是，如果没有 nat 业务却加载了 conntrack，则适得其反，既起不到任何帮助，又会影响性能，得不偿失

上网2种方式，1路由，2NAT，是不是用路由，然后路由和内网之间加个病毒防火墙这样效率更高？那么网络安全用什么来处理。前辈。
如果用NETSCREEN，那么它的处理方式属于哪种呢。

zhou_rock

原帖由 cubzsd 于 2009-4-9 13:50 发表



上网2种方式，1路由，2NAT，是不是用路由，然后路由和内网之间加个病毒防火墙这样效率更高？那么网络安全用什么来处理。前辈。
如果用NETSCREEN，那么它的处理方式属于哪种呢。

你好,我这个路由器没有nat的.是纯静态路由.防火墙的功能有其他机器来负责.不过似乎不加防火墙功能的话,对付ddos攻击之类的不知道如何来处理.内核级别的安全不知道能否挡住ddos.

zhou_rock

原帖由 platinum 于 2009-4-8 22:36 发表

这个一般是 netfilter 里面要处理的东西太多，跟不上收报的速度造成的
ksoftirqd 是内核里的软中断，他一般是由系统收包后转给 netfilter 处理时造成的，但也不排除收到告诉数据包的可能
如果出现了这种情况 ...

在没有启用ip跟踪模块之前同样出现这个问题.

marsaber

学习了，收藏该贴！

shenlan219

你把 iptables 服务关掉了。所以 没有ip_conntrack 这个限制项

happiness100808