ＬＩＮＵＸ做代理服务器，８００个客户端，经常出现系统崩溃

ma_xp

原帖由 azad 于 2005-5-16 14:31 发表
你把这个放到最后就行了.
iptables -A FORWARD -s 0/0 -d 0/0 -j ACCEPT
顺序匹配错误,下面的封端口的FORWARD语句没起作用.

我倒是建议防火墙的默认协议为全部屏蔽。需要什么协议打开什么协议。
最好是在网络接口上进行定义，而不是在进行转发的时候再过滤。
先让http等大量访问的协议规则过滤置前，最后再控制过滤少用的协议。

guotie

no problem!

netwatch

我也是用linux as3做nat，单单做nat，其他不要的服务关拉，进入网卡的是纯流量（40－50M），不存在2层信息，上网和其他应用正常，可是玩游戏会掉线且延迟大，不知道是不是nat的问题？我的ip地址池只有3个公网地址，没有出现过table overflow的信息，用cat /proc/net/ip_conntrack   | wc -l 显示有大概16万左右的连接跟踪，会是什么原因使得玩游戏会掉线且延迟大？

frank521

看的好过瘾  好贴

littletop

没有必要这么麻烦，用一个软件路由器软件就可以了，比如：coyotelinux。

ippen

看了帖子，说一下个人的观点：
nat和有多少个节点的关系不大，关键是并发连接数和网络流量，网络流量和并发连接数影响CPU，CPU超负载就会垮掉。调整系统的参数能提高nat的性能，默认参数不行。
网络的节点数不要过多，建议不要超过200，超过的话 分为子网，使用2层或3层交换机，如果买不起昂贵的3层交换机，可以用linux做路由器，因为三层交换机实际上就是2层交换机+路由器，当然3层交换机性能要好很多，但你的网络流量不高，就浪费了。

loveKDE

用OB吧

yiuling349

想学做代理，有谁愿意帮忙一下，感谢感谢感谢感谢……

net_robber

只考虑一点，800用户，需要内存容量~~~~~好像是不小

caocheng

我做的几台linux NAT一直都运行正常! 有RHEL 4 u2的,还有debian 的,光TCP并发连接数正常就在8000左右,但一直运行稳定!
前几天发现一个IP打开了800个UDP,真是要命! 不过CPU一直正常!
这台是debian 的
19:41:51 up 15 days, 11:18,  1 user,  load average: 0.00, 0.00, 0.00
以前是一台服务器做的,后来我和人家讲没办法,找台破电脑,年代老点的,这样更稳定,15天前一直是服务器,太浪费了,现在换成破PC也运行了15天了,也一走正常,CPU非常差的,我都没注意是什么的! 网络里什么人都有,当然也有BT的!

router:/proc/net# grep EST ip_conntrack -c
6967
router:/proc/net#


这里现在晚上的TCP已经建立的连接数!
下面是iptables的配置
# Generated by iptables-save v1.3.3 on Sun Feb 26 19:45:59 2006
*mangle
REROUTING ACCEPT [5320379739:2286753298905]
:INPUT ACCEPT [75123333:6060099854]
:FORWARD ACCEPT [5244702060:2280335550156]
:OUTPUT ACCEPT [42816389:4488908993]
OSTROUTING ACCEPT [5288179256:2284835533618]
COMMIT
# Completed on Sun Feb 26 19:45:59 2006
# Generated by iptables-save v1.3.3 on Sun Feb 26 19:45:59 2006
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [42784943:4486138534]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i eth0 -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -s 221.226.0.0/255.255.0.0 -p tcp -m tcp --dport 20:22 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 2531 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Sun Feb 26 19:45:59 2006
# Generated by iptables-save v1.3.3 on Sun Feb 26 19:45:59 2006
*nat
REROUTING ACCEPT [117047011:9006940994]
OSTROUTING ACCEPT [198924:10001059]
:OUTPUT ACCEPT [2241:157861]
-A PREROUTING -p tcp -m tcp --dport 2531 -j DNAT --to-destination 192.168.0.243:2531
-A POSTROUTING -s 192.168.0.0/255.255.254.0 -o eth1 -j MASQUERADE
COMMIT
# Completed on Sun Feb 26 19:45:59 2006


以前一段时间经常会有人不停的用FTP,SSH不停的登录试密码,呵呵

有什么问题,可以一起交流!!
我QQ: 20754739