服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 为什么防火墙/服务器在1-2天后变得缓慢? 影响防火墙及其后面的机器
Intereting Posts
cgi-bin中的Python脚本不被识别为apache2 用于Web服务器的NFS服务器和客户端 为Postgres获取太多打开文件错误 在Ubuntu 14.04桌面上的Jenkins.log位置 Memcached不听 互联网< – >服务器< – >路由器< – >计算机设置 为什么用户的“Servername \ Guest”login失败? snmp获取请求和切换请求限制 为两个networking设置本地文件服务器 如何检查IIS服务器7中SSL的版本? 在Vim中从插入模式退出时保存缓冲区 如何为存储架构定义分层模型? 使用Monit监视Resque NLB RPC服务器在指定的计算机上不可用 以本地用户身份login时访问Windows域文件共享

为什么防火墙/服务器在1-2天后变得缓慢? 影响防火墙及其后面的机器

1或2天后,我的防火墙变得非常慢。 我有5台机器,它们也变得非常慢。 硬件重新启动后,它变得更快。

我目前的conntrack限制: 

[root@fw ~]# cat /proc/sys/net/ipv4/ip_conntrack_max 100000

平均conntrack表计数: 

 [root@fw ~]# cat /proc/net/ip_conntrack |wc -l 1301

我的iptables规则: 

  [root@fw ~]# iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy DROP) target prot opt source destination DROP all -- 24.0.0.0/8 0.0.0.0/0 ACCEPT udp -- $IP_155 0.0.0.0/0 udp ACCEPT udp -- 0.0.0.0/0 $IP_155 udp dpt:8888 ACCEPT udp -- 0.0.0.0/0 $IP_155 udp dpt:9999 ACCEPT udp -- 0.0.0.0/0 $IP_155 udp dpt:8777 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- $IP_160 $IP_39 ACCEPT all -- $IP_39 $IP_160 ACCEPT all -- $ip_veloX 0.0.0.0/0 ACCEPT all -- 192.168.1.0/24 0.0.0.0/0 ACCEPT all -- 192.168.1.0/24 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 192.168.1.0/24 ACCEPT all -- 192.168.1.0/24 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 192.168.1.0/24 ACCEPT all -- 192.168.1.0/24 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 192.168.1.0/24 ACCEPT tcp -- 0.0.0.0/0 $IP_39 state NEW tcp dpt:2106 ACCEPT tcp -- 0.0.0.0/0 $IP_160 state NEW tcp dpt:2106 ACCEPT tcp -- 0.0.0.0/0 $IP_156 state NEW multiport dports 7777 ACCEPT tcp -- 0.0.0.0/0 $IP_211 state NEW multiport dports 7777 ACCEPT tcp -- 0.0.0.0/0 $IP_215 state NEW multiport dports 7777 ACCEPT tcp -- 0.0.0.0/0 $IP_160 state NEW multiport dports 7777 ACCEPT tcp -- 0.0.0.0/0 $IP_155 state NEW multiport dports 7777 ACCEPT tcp -- 0.0.0.0/0 $IP_155 state NEW multiport dports 8767,9999,8777,14534,51234,6969,7777 ACCEPT tcp -- 0.0.0.0/0 $IP_160 state RELATED,ESTABLISHED ACCEPT tcp -- 0.0.0.0/0 $IP_156 state RELATED,ESTABLISHED ACCEPT tcp -- 0.0.0.0/0 $IP_211 state RELATED,ESTABLISHED ACCEPT tcp -- 0.0.0.0/0 $IP_215 state RELATED,ESTABLISHED ACCEPT tcp -- 0.0.0.0/0 $IP_39 state RELATED,ESTABLISHED ACCEPT tcp -- 0.0.0.0/0 $IP_155 state RELATED,ESTABLISHED ACCEPT tcp -- $IP_160 0.0.0.0/0 state RELATED,ESTABLISHED ACCEPT tcp -- $IP_156 0.0.0.0/0 state RELATED,ESTABLISHED ACCEPT tcp -- $IP_211 0.0.0.0/0 state RELATED,ESTABLISHED ACCEPT tcp -- $IP_215 0.0.0.0/0 state RELATED,ESTABLISHED ACCEPT tcp -- $IP_39 0.0.0.0/0 state RELATED,ESTABLISHED ACCEPT tcp -- $IP_155 0.0.0.0/0 state RELATED,ESTABLISHED ACCEPT tcp -- $IP_160 0.0.0.0/0 state NEW ACCEPT tcp -- $IP_156 0.0.0.0/0 state NEW ACCEPT tcp -- $IP_211 0.0.0.0/0 state NEW ACCEPT tcp -- $IP_215 0.0.0.0/0 state NEW ACCEPT tcp -- $IP_39 0.0.0.0/0 state NEW ACCEPT tcp -- $IP_155 0.0.0.0/0 state NEW Chain OUTPUT (policy ACCEPT) target prot opt source destination [root@fw ~]#

[root @ fw〜]#df -h文件系统大小已用可用用%挂载在/ dev / sda1上142G 21G 114G 16%/

它不会直接在这种情况下,但总是把 

 iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

作为第一条规则。 这将为您节省一些CPU周期的所有数据包属于已经build立的连接。

如果您有DROP策略,则与input/输出类似。

什么是机器的负载[从瓦特或顶部]

你在dmesg有什么有趣的东西吗?

你做一些地址翻译?

假设你指的是你的带宽变慢,我首先尝试重新加载iptables(root $ /etc/init.d/iptables reload,或者手动刷新和重新加载你的规则),看看是否能解决你的问题。 如果是这样,那么你知道这是你的FWconfiguration。 如果没有,那么你可以开始监视你的系统,看看是否有东西在吃掉资源。

我猜的是前一个问题,这通常和你的NAT翻译表有关。 你可以用'-t nat'和任何适当的选项查看它。

除了其他build议的可能性之外,另一个是您的网关NIC之一正在开始失败。 当事情开始“慢下来”时,运行ifconfig并检查数据包数量。 特别是检查错误计数。