ＬＩＮＵＸ做代理服务器，８００个客户端，经常出现系统崩溃

pengyl

一个校园宿舍网，大概有８００台左右的客户端，客户端有很多感染震荡波、冲击波等病毒的机器。用一台Ｐ４２．８/512/内存的机器安装ＲＨ９，做ＮＡＴ，做ＭＡＣ地址绑定，并封掉了已知的病毒攻击的端口，像１３５－１３９，４４５，４４４４等，还屏掉了ＩＣＭＰ包。
目前有很多客户端上不了网或上网速度很慢，ＲＨ９还会经常出现死机状况。请问大家有什么办法能够解决这８００台机器稳定上网的问题？代理服务器应当如何修改，或是有什么其它的软硬件解决方案，请赐教。

附防火墙脚本
echo 1 >; /proc/sys/net/ipv4/ip_forward
echo 0 >; /proc/sys/net/ipv4/icmp_echo_ignore_all
modprobe ip_tables
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
iptables -F INPUT
iptables -F FORWARD
iptables -F POSTROUTING -t nat
iptables -t nat -F
iptables -P FORWARD DROP
iptables -A FORWARD -s 192.168.0.0/16 -j ACCEPT
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/16 -j SNAT --to x.x.x.x
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -A FORWARD -s 0/0 -d 0/0 -j ACCEPT
iptables -A INPUT -p icmp -j DROP
#/sbin/iptables -A FORWARD -p tcp -d 0.0.0.0/24 --dport smtp -i eth0 -j REJECT
#iptables  -t filter -A INPUT -j REJECT  -p tcp --dport smtp
#iptables  -t filter -A OUTPUT -j REJECT  -p tcp --dport smtp
iptables -A FORWARD -p tcp --dport 3300 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 3550 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 5500 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 7000 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 7100 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 5100 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 5000 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 7200 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 16300 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 16301 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 16302 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 6000 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 5600 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 4900 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 10000 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 44405 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 55557 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 44400 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 55960 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 55902 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 55962 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 55970 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 55901 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 7003 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 27015 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 27016 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 5555 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 4444 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 6666 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 7777 -o eth0 -j DROP
iptables -A FORWARD -P tcp --dport 135 -o eth0 -j DROP
iptables -A FORWARD -P tcp --dport 136 -o eth0 -j DROP
iptables -A FORWARD -P tcp --dport 137 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 138 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 139 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 3127 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 1433 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 1434 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 445 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 5800 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 5900 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 6667 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 4444 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 69 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 593 -o eth0 -j DROP
UDP 也屏掉了同样了的端口

leminsky

linux作代理带800用户困难点，实际使用中感觉超过300用户，linux就可能顶不住了，建议采用专门的接入设备。

leminsky

用户接入的方案可以和我交流，我的MSN是leminsky1978@hotmail.com,可以先交流一下。

pengyl

[quote]原帖由 "leminsky"]linux作代理带800用户困难点，实际使用中感觉超过300用户，linux就可能顶不住了，建议采用专门的接入设备。[/quote 发表：


什么专用设备可以解决呢？

peng

800用户我觉得不行了，估计本身和你的网络质量，限制规则、还有pc的总线等都有关系。没有实际检测，不好说。。

专用网络设备就是3层交换机或者路由器啊。

这个还不能用太低的，我以前给人家做接入的时候，cisco 25xx系列的路由器，做nat也不能超过200个客户端的。。

估计你要用更高层次的，可以咨询一下cisco或者他的一些大的代理，有人专门回答你的一些问题。

china_juky_huan

300个linux做代理是没有问题的，800也不应该很困难，解决方法可以使用：
双网卡绑定
关掉不使用的进程
如果可以不加入不必要的模块
最好减少cron的执行频率

benjiam

改用lfs 试试看呢？ 我感觉redhat 自身就浪费了很大的资源 同样的机器lfs 简直就象飞一样

peng

原帖由 "china_juky_huang" 发表：
300个linux做代理是没有问题的，800也不应该很困难，解决方法可以使用：
双网卡绑定
关掉不使用的进程
如果可以不加入不必要的模块
最好减少cron的执行频率

讨论一下：）
300个可以，800个就可以吗？这个差2倍多的用户量啊。
打个比方，10m的网卡可以跑10m的线路，但是跑不了20m啊。。

我对linux的内核了解不多，不知道它的nat的软限制是多少，出现这个问题是软现实还是硬限制。。如果是软限制，没有办法了，只能换os或者社别。如果是硬限制，可以从升级硬件、优化系统考虑。。

而且楼主给的信息量太少。只有配置，没有系统应用的负载等各方面的数据，还有错误日值。

platinum

原帖由 "china_juky_huang" 发表：
300个linux做代理是没有问题的，800也不应该很困难，解决方法可以使用：
双网卡绑定
关掉不使用的进程
如果可以不加入不必要的模块
最好减少cron的执行频率

有人测试过，2000点，没问题（仅限NAT，无SQUID），而且现在还在跑
硬件设备是一台价值七八千的PC

NetDC

我有一些数据，一台dell比较古老的机子，512M内存，debian stable，使用ipchains，同时上网用户超过600，跑到近50Mbps，一点问题都没有。

你的规则有些问题，iptables -A FORWARD -s 0/0 -d 0/0 -j ACCEPT，这里已经ACCEPT了，接下去的DROP都没用了吧。