Титла: странни съобщения в лога
Публикувано от: qwert в Feb 12, 2007, 11:21
Здравейте,
Системата е Debian Sarge със стандартното 2.6.8-2-386 ядро,функцията която изпълнява е просто да рутира.През нея минава около 5-7 мегабита трафик a компютара е натоварен около 10-20 %.
След безпричинно забиване ето какво виждам в логовете:
Feb 4 23:28:31 pc kernel: ack_in+0xe5/0x1e7 [ip_conntrack]
Feb 4 23:28:31 pc kernel: [ip_forward_finish+0/63] ip_forward_finish+0x0/0x3f
Feb 4 23:28:31 pc kernel: [nf_hook_slow+212/222] nf_hook_slow+0xd4/0xde
Feb 4 23:28:31 pc kernel: [ip_rcv_finish+0/502] ip_rcv_finish+0x0/0x1f6
Feb 4 23:28:31 pc kernel: [nf_iterate+63/136] nf_iterate+0x3f/0x88
Feb 4 23:28:31 pc kernel: [ip_rcv_finish+0/502] ip_rcv_finish+0x0/0x1f6
Feb 4 23:28:31 pc kernel: [ip_rcv_finish+0/502] ip_rcv_finish+0x0/0x1f6
Feb 4 23:28:31 pc kernel: [nf_hook_slow+89/222] nf_hook_slow+0x59/0xde
Feb 4 23:28:31 pc kernel: [ip_rcv_finish+0/502] ip_rcv_finish+0x0/0x1f6
Feb 4 23:28:31 pc kernel: [ip_rcv+897/949] ip_rcv+0x381/0x3b5
Feb 4 23:28:31 pc kernel: [ip_rcv_finish+0/502] ip_rcv_finish+0x0/0x1f6
Feb 4 23:28:31 pc kernel: [netif_receive_skb+407/477] netif_receive_skb+0x197/0x1dd
Feb 4 23:28:31 pc kernel: [process_backlog+109/233] process_backlog+0x6d/0xe9
Feb 4 23:28:31 pc kernel: [net_rx_action+93/207] net_rx_action+0x5d/0xcf
Feb 4 23:28:31 pc kernel: [do_softirq+0x34/0x73
Feb 4 23:28:31 pc kernel: [do_softirq+34/38] do_softirq+0x22/0x26
Feb 4 23:28:31 pc kernel: [do_IRQ+229/249] do_IRQ+0xe5/0xf9
Питах гугъл но не намерих нищо конкретно,ще съм благодарен на всякакви насоки.
Системата е Debian Sarge със стандартното 2.6.8-2-386 ядро,функцията която изпълнява е просто да рутира.През нея минава около 5-7 мегабита трафик a компютара е натоварен около 10-20 %.
След безпричинно забиване ето какво виждам в логовете:
Feb 4 23:28:31 pc kernel: ack_in+0xe5/0x1e7 [ip_conntrack]
Feb 4 23:28:31 pc kernel: [ip_forward_finish+0/63] ip_forward_finish+0x0/0x3f
Feb 4 23:28:31 pc kernel: [nf_hook_slow+212/222] nf_hook_slow+0xd4/0xde
Feb 4 23:28:31 pc kernel: [ip_rcv_finish+0/502] ip_rcv_finish+0x0/0x1f6
Feb 4 23:28:31 pc kernel: [nf_iterate+63/136] nf_iterate+0x3f/0x88
Feb 4 23:28:31 pc kernel: [ip_rcv_finish+0/502] ip_rcv_finish+0x0/0x1f6
Feb 4 23:28:31 pc kernel: [ip_rcv_finish+0/502] ip_rcv_finish+0x0/0x1f6
Feb 4 23:28:31 pc kernel: [nf_hook_slow+89/222] nf_hook_slow+0x59/0xde
Feb 4 23:28:31 pc kernel: [ip_rcv_finish+0/502] ip_rcv_finish+0x0/0x1f6
Feb 4 23:28:31 pc kernel: [ip_rcv+897/949] ip_rcv+0x381/0x3b5
Feb 4 23:28:31 pc kernel: [ip_rcv_finish+0/502] ip_rcv_finish+0x0/0x1f6
Feb 4 23:28:31 pc kernel: [netif_receive_skb+407/477] netif_receive_skb+0x197/0x1dd
Feb 4 23:28:31 pc kernel: [process_backlog+109/233] process_backlog+0x6d/0xe9
Feb 4 23:28:31 pc kernel: [net_rx_action+93/207] net_rx_action+0x5d/0xcf
Feb 4 23:28:31 pc kernel: [do_softirq+0x34/0x73
Feb 4 23:28:31 pc kernel: [do_softirq+34/38] do_softirq+0x22/0x26
Feb 4 23:28:31 pc kernel: [do_IRQ+229/249] do_IRQ+0xe5/0xf9
Питах гугъл но не намерих нищо конкретно,ще съм благодарен на всякакви насоки.
Титла: странни съобщения в лога
Публикувано от: gat3way в Feb 12, 2007, 12:06
Това нещо НАТ-ва ли? Освен което ако има ip filtering, възползва ли се от connection tracking-a (примерно да има iptables правила с нещо от сорта на -m state --state BLABLA) 
Титла: странни съобщения в лога
Публикувано от: qwert в Feb 12, 2007, 13:38
не нат-ва но има:
$IPT -A INPUT -m state --state NEW -p tcp --dport 445 -j REJECT
има и още правила но те затварят само определени портове и това е целия firewall
$IPT -A INPUT -m state --state NEW -p tcp --dport 445 -j REJECT
има и още правила но те затварят само определени портове и това е целия firewall
Титла: странни съобщения в лога
Публикувано от: gat3way в Feb 12, 2007, 14:04
Значи ако можеш да замениш това правило с еквивалентно такова (спокойно можеш със "--syn" да замениш "--state NEW" предполагам), можеш да разкараш целият connection tracking от ядрото, защото очевидно проблемът поради някаква причина се случва там. Също така това може да е бъг в тази версия на ядрото което ползваш, не знам, възможно е да се оправи и ако сложиш ново.
Иначе ако няма да правиш нат-ванки и не държиш особено много на това правило, направо разкарвай conntrack-a. Производителността на IP forwarding-a ще скочи поне с 30-тина процента, само заради това че не се правят проверки за всеки преминал пакет дали е асоциран с някаква конекция...а и ще се освободи процесорно време за други полезни неща.
Иначе ако няма да правиш нат-ванки и не държиш особено много на това правило, направо разкарвай conntrack-a. Производителността на IP forwarding-a ще скочи поне с 30-тина процента, само заради това че не се правят проверки за всеки преминал пакет дали е асоциран с някаква конекция...а и ще се освободи процесорно време за други полезни неща.
Титла: странни съобщения в лога
Публикувано от: qwert в Feb 12, 2007, 15:42
Махнах въпросното правило.Утре ще пиша какъв е резултата.
Мерси за бързата помощ
Мерси за бързата помощ
Титла: странни съобщения в лога
Публикувано от: gat3way в Feb 12, 2007, 16:44
Ъм, само с махането на правилото няма да се реши въпроса. Трябва самият conntrack модул да разкараш (ip_conntrack.ko)
Титла: странни съобщения в лога
Публикувано от: qwert в Feb 12, 2007, 17:04
ок махам го
Титла: странни съобщения в лога
Публикувано от: qwert в Feb 15, 2007, 09:27
Смених ядрото и за сега всичко изглежда наред.Като същевременно не съм махал правилата.