Выполнил трассировку гуглового DNS 8.8.8.8 c пограничного Linux-маршрутизатора все в порядке - хост достижим через правильного провайдера.
Кактус показывает что есть проблема с каналом.
Зашел на SmartView Monitor - активная нода фаервола в waitin'ге.
Вот дела!
Залез в SmartView Tracker - настроил фильтры, ищу аномалии, в дропах.
Нашел, и время совпадает.
Какой-то хрен с хоста 82.181.137.112 установил за одну секунду сотни телнет соединений с моими хостами.
Предполагаю, что он очень быстро выжрал предельный параметр - Maximum Concurrent Connection в 25000 значений.
Определяется по значению параметра PEAK:
[Expert@fw1]# fw tab -t connections -s
HOST NAME ID #VALS #PEAK #SLINKS
localhost connections 8158 4212 24580 12652
Значение, заданое по умолчанию я после ввода фаервола в продуктив не менял.
Где его менять написано у Дениса Урасова http://xn--80ae9aggj.xn--p1ai/2009/11/06/max-connect-checkpoint/
Учитывая что оперативной памяти на фаерволе 12 Gb, а используется около 3 Gb, я, по совету друзей, поставил значение в 200000.
Для анализа производительности фаервола можно использовать команду top
Фрагмент результата выполнения команды top:
top - 14:38:05 up 224 days, 6:49, 1 user, load average: 0.16, 0.12, 0.09
Tasks: 121 total, 1 running, 120 sleeping, 0 stopped, 0 zombie
Cpu(s): 2.0%us, 0.5%sy, 0.0%ni, 96.4%id, 0.0%wa, 0.0%hi, 1.0%si, 0.0%st
Mem: 12463492k total, 2105400k used, 10358092k free, 398212k buffers
Swap: 26213992k total, 0k used, 26213992k free, 557572k cached
No comments:
Post a Comment