Изпечатай

[qwert]

Здравейте,
Системата е Debian Sarge със стандартното 2.6.8-2-386 ядро,функцията която изпълнява е просто да рутира.През нея минава около 5-7 мегабита трафик a компютара е натоварен около 10-20 %.
След безпричинно забиване ето какво виждам в логовете:

Feb  4 23:28:31 pc kernel: ack_in+0xe5/0x1e7 [ip_conntrack]
Feb  4 23:28:31 pc kernel:  [ip_forward_finish+0/63] ip_forward_finish+0x0/0x3f
Feb  4 23:28:31 pc kernel:  [nf_hook_slow+212/222] nf_hook_slow+0xd4/0xde
Feb  4 23:28:31 pc kernel:  [ip_rcv_finish+0/502] ip_rcv_finish+0x0/0x1f6
Feb  4 23:28:31 pc kernel:  [nf_iterate+63/136] nf_iterate+0x3f/0x88
Feb  4 23:28:31 pc kernel:  [ip_rcv_finish+0/502] ip_rcv_finish+0x0/0x1f6
Feb  4 23:28:31 pc kernel:  [ip_rcv_finish+0/502] ip_rcv_finish+0x0/0x1f6
Feb  4 23:28:31 pc kernel:  [nf_hook_slow+89/222] nf_hook_slow+0x59/0xde
Feb  4 23:28:31 pc kernel:  [ip_rcv_finish+0/502] ip_rcv_finish+0x0/0x1f6
Feb  4 23:28:31 pc kernel:  [ip_rcv+897/949] ip_rcv+0x381/0x3b5
Feb  4 23:28:31 pc kernel:  [ip_rcv_finish+0/502] ip_rcv_finish+0x0/0x1f6
Feb  4 23:28:31 pc kernel:  [netif_receive_skb+407/477] netif_receive_skb+0x197/0x1dd
Feb  4 23:28:31 pc kernel:  [process_backlog+109/233] process_backlog+0x6d/0xe9
Feb  4 23:28:31 pc kernel:  [net_rx_action+93/207] net_rx_action+0x5d/0xcf
Feb  4 23:28:31 pc kernel:  [do_softirq+0x34/0x73
Feb  4 23:28:31 pc kernel:  [do_softirq+34/38] do_softirq+0x22/0x26
Feb  4 23:28:31 pc kernel:  [do_IRQ+229/249] do_IRQ+0xe5/0xf9

Питах гугъл но не намерих нищо конкретно,ще съм благодарен на всякакви насоки.

[gat3way]

Това нещо НАТ-ва ли? Освен което ако има ip filtering, възползва ли се от connection tracking-a (примерно да има iptables правила с нещо от сорта на -m state --state BLABLA) '>

[qwert]

не нат-ва но има:
$IPT -A INPUT -m state --state NEW -p tcp --dport 445 -j REJECT

има и още правила но те затварят само определени портове и това е целия firewall

[gat3way]

Значи ако можеш да замениш това правило с еквивалентно такова (спокойно можеш със "--syn" да замениш "--state NEW" предполагам), можеш да разкараш целият connection tracking от ядрото, защото очевидно проблемът поради някаква причина се случва там. Също така това може да е бъг в тази версия на ядрото което ползваш, не знам, възможно е да се оправи и ако сложиш ново.

Иначе ако няма да правиш нат-ванки и не държиш особено много на това правило, направо разкарвай conntrack-a. Производителността на IP forwarding-a ще скочи поне с 30-тина процента, само заради това че не се правят проверки за всеки преминал пакет дали е асоциран с някаква конекция...а и ще се освободи процесорно време за други полезни неща.

[qwert]

Махнах въпросното правило.Утре ще пиша какъв е резултата.

Мерси за бързата помощ  '>

[gat3way]

Ъм, само с махането на правилото няма да се реши въпроса. Трябва самият conntrack модул да разкараш (ip_conntrack.ko)

[qwert]

ок махам го

[qwert]

Смених ядрото и за сега всичко изглежда наред.Като същевременно не съм махал правилата.