ＬＩＮＵＸ做代理服务器，８００个客户端，经常出现系统崩溃

秋风No.1

真是长知识，这样的讨论真让人茅赛洞开！

急不通

原帖由 "peng" 发表：


嗯，我说的不是那个自治域的东西，具体叫什么忘了。。

就是单点数据交换的意思吧。。

叫单臂路由

platinum

规则越多、越复杂，占用CPU越多，效率越低
楼主的很多DROP规则不是一个很好的有效的策略

springwind426

防火墙脚本有问题
先禁止不用的端口，然后放开相应的权限
iptables -t nat -A PREROUTING -p tcp --dport 3300 -j DROP
.............
iptables -A FORWARD -s 192.168.0.0/16 -j ACCEPT
iptables -t nat -A POSTROUTING -j MASQUERADE
.......
如果有网络蠕虫的话，你必须在nat 表的PREROUTING链中禁止。
而且，禁止的规则在前，允许的规则在后才能生效，你的脚本中的禁止规则根本不能生效，因为你已经允许-s 192.168.0.0/16通过了。

如果将禁止的端口在filter表的FORWARD链中禁止，则会对服务器造成很大的负担。

你可以比较一下（冲击波病毒）
PREROUTING链
tcpdump -n tcp and port 135
FORWARD链
tcpdump -n tcp and port 135
就会发现，后者会出现很多数据包，而前者没有。

Sonicant

受益匪浅~顶！

Sonicant

呵呵，楼主为啥不用trustix，你熟悉RH的话操作trustix应该很快上手的，比RH精悍多了~

azad

你把这个放到最后就行了.
iptables -A FORWARD -s 0/0 -d 0/0 -j ACCEPT
顺序匹配错误,下面的封端口的FORWARD语句没起作用.

O.Brire

echo "8184000" >; /proc/sys/net/ipv4/ip_conntrack_max
你的连接数(SESSION)有限制,请打开
另外分配给TCP/IP协议的内存请扩大
一般而言,我们的PII都可以支持500台工作站
以上限制为800万连接,如果用BT或有冲击波,一台PC可以带有上100的连接, 当然容易DUMP
cat /proc/sys/net/ipv4/*mem看看

ma_xp

原帖由 longdas 于 2004-10-25 08:10 发表
[quote]原帖由 "q1208c"]小声问一下各位，用NAT和三层交换机有什么关系呢？ [/quote 发表：


NAT 工作在四层 传输层上.
表现为端口到端口.


三层交换机工作在网络层也就是三层上 ...

没错，nat实际上是设备把数据包的源地址修改成自己的ip，然后再转发。此时，把转发出去的端口与实际上的源地址相对应。那么当收到应答包怎么办？就要根据从外面收到数据包的目的端口来判断是内部哪一个ip（数据包的ip无法判断出来，因为外面发送的目的地址一定是设备自己的ip）。端口是第四层才有的概念，单纯按路由的定义，端口是不能识别的。三层设备之所以是有第四层的功能，是因为设备不是单纯的三层设备。当然它的四层功能很弱。即使是三层交换机，如果把它当路由器来用，也是慢的如蜗牛。