ＬＩＮＵＸ做代理服务器，８００个客户端，经常出现系统崩溃

小粥

感觉你的防火墙部分有点问题，你把关闭服务的部分移到最前面去吧
好像前面过了就不会到这里来了

你看看/proc/net/ip_conntrack里面有没有被你关掉端口的数据包，如果有的话，应该就是你的防火墙的问题了

这个问题偶有亲身经历的，偶公司的内部网络大概有150至100台机器，通过1台破PC（PII 266,64M)上网，经常出现服务器负载过大，出项drop packet的情况，把防火墙的关闭端口部分移上去就好了一些。

Rioga

如果是Redhat，那就太次，建议你换Mandrake的这个试试：http://www.mandrakesoft.com/products/mnf。另外网卡也很重要。

NetDC

原帖由 "bili" 发表：
我们单位也用的LINUX做NAT。问题也是多多。
  
  做NAT的服务器是HP Proliant ML570,双P III Xeon 700/1M ,2G mem.连接了50个B段，3个C段。实际连接的用户数大概在3000左右。一共有50个学校通过NAT上网。实际使用?.........

Neighbour table overflow.
这个错误好像是因为系统设置的max conntrack被占用完了，对于正常的情况，这个是不会占用完的，很多时候是病毒引起的，如冲击波，振荡波。需要在FORWARD链中把135，139，445等相关的端口关闭。这个参数在/proc/sys/net/ipv4/ip_conntrack_max中指定。

echo "1024">;/proc/sys/net/ipv4/neigh/gc_thresh1
echo "2048">;/proc/sys/net/ipv4/neigh/gc_thresh2
echo "4096">;/proc/sys/net/ipv4/neigh/gc_thresh3

上面这个是做什么用的？我找找资料看看。

原来是设置arp数目的，不过为什么是3个呢？

bili

原帖由 "NetDC" 发表：


Neighbour table overflow.
这个错误好像是因为系统设置的max conntrack被占用完了，对于正常的情况，这个是不会占用完的，很多时候是病毒引起的，如冲击波，振荡波。需要在FORWARD链中把135，139，445等相关的..........

我上网查的资料说Neighbour table overflow. 是ARP表占用完而出现的。max conntrack我以前改过，好像没太有用。

另外，less /proc/net/ip_conntarck，有的连接怎么看不到？比如我正在用FTP下载，然后less /proc/net/ip_conntarck | grep 我的IP，里面没有？

qingfeng18

说明：
1  我是根据我以前写的shell改的，主要是精简，去掉squid部分.
2  对于硬件方面我不是很了解，也就是是否需要用交换机才行，以及其他。
3  对于网络布局，你是否划分vlan我不清楚，以为我没有做过实际的测试，没有环境。
4  我假设你的网关是linux/redhat，两块网卡，外网有固定ip，内网带动所有机器上网。
5  对于先做防火墙规则，我的理解是它可以在nat之前用软件本身进行数据包过滤，也就是限制了流量，应该会有性能的影响，但这样不需要其它硬件，值得一试。
6  由于我在做nat时重新编译内核并加载了所有netfilter模块，因此某些功能模块不能用时，请确保加载相应模块。
7  我的源码是redhat7.3配套版本，没有打任何补丁。
8  对于性能，我相信用单一软件带动800应该没问题。因为platinum说windows都没问题，哈哈。
9  我的环境用相当于400-m的cpu+128M的内存带动50台没问题，而且做squid缓存。
10 我的环境是自己做的小系统，但同时跑busybox带的dhcpd和httpd。
11 规则简单了性能会提上去，先drop不要的packet是比较好的，主要是可以避免大量的病毒包占用网络资源。

echo 1 >; /proc/sys/net/ipv4/ip_forward
echo 0 >; /proc/sys/net/ipv4/icmp_echo_ignore_all
#取自 “bili”侠客
echo "1">;/proc/sys/net/ipv4/conf/eth1/proxy_arp

modprobe ip_tables
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

WAN_ETH=eth0
LAN_ETH= eth1
LAN_IP=192.168.0.0
LAN_MASK=255.255.0.0

#filter
iptables -F  
iptables -X  
iptables -Z  
iptables -P INPUT   DROP   
iptables -P FORWARD DROP  
iptables -P OUTPUT  ACCEPT  

#NAT
iptables  -F -t nat
iptables  -X -t nat
iptables  -Z -t nat
iptables -t nat -P PREROUTING  ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT      ACCEPT


iptables -N ETFIRE  
iptables -A INPUT -j ETFIRE  
iptables -A FORWARD -j ETFIRE  

#ETFIRE--LOG
iptables -A ETFIRE -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT FORWARD packets died:"  

#ETFIRE--LIMIT
iptables -A ETFIRE -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT  
iptables -A ETFIRE -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT  
iptables -A ETFIRE -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT  

#ETFIRE--DROP
#drop potential SQL Worm
iptables -A ETFIRE -p tcp --dport 1433 -j DROP  
iptables -A ETFIRE -m state --state INVALID  -j DROP  


#ETFIRE--ACCEPT
iptables -A ETFIRE -i $WAN_ETH -m state --state ESTABLISHED,RELATED -j ACCEPT  
iptables -A ETFIRE -i $LAN_ETH -s $LAN_IP/$LAN_MASK -p tcp --dport 80 -j ACCEPT  


#NAT
iptables -t nat -A POSTROUTING -o $WAN_ETH -s $LAN_IP/$LAN_MASK -j SNAT --to a.b.c.d

linuxsky

我的DELL 4400的服务器
带了近1000个客户机
好像没什么问题
我用的是NAT+Squid的组合。
很简单的做了一下。没有优化。好像都没出过错

关于冲击波之类的病毒，我是通过在主干交换机上封掉137之类的端口来进行的。

q1208c

小声问一下各位，用NAT和三层交换机有什么关系呢？

qingfeng18

哈哈，i do not known too!

若水

800用户真的不算多，我们单位是一所高校的，用FREEBSD 。两千个用户，跑起来没有问题的