IPFW-too many dynamic rule

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

IPFW-too many dynamic rule

Непрочитанное сообщение vasilastr » 2008-09-10 16:34:00

Добрый день !!!
не потскажите что означает вот это сообщение

Код: Выделить всё

Ipfw:install state:too many dynamic rules
:oops:

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Covax
мл. сержант
Сообщения: 131
Зарегистрирован: 2008-04-27 23:54:31
Откуда: Витебск, Беларусь
Контактная информация:

Re: IPFW

Непрочитанное сообщение Covax » 2008-09-10 16:56:35

В правилах ipfw используется keep-state, в результате чего создаются динамические правила.
Их колличество ограничено переменно net.inet.ip.fw.dyn_max по умолчанию равное 1000 (по-моемому).
Ну и это сообщение вылазит когда это колличество превышено.

Посмотри

Код: Выделить всё

 ipfw -d show
, может тебя флудят.
Последний раз редактировалось manefesto 2008-09-11 8:41:37, всего редактировалось 2 раза.
Причина: оформление отвратное

vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: IPFW

Непрочитанное сообщение vasilastr » 2008-09-10 17:00:15

А как это победить ?? :)

Владимир
сержант
Сообщения: 235
Зарегистрирован: 2008-07-30 13:46:15
Откуда: Республика Молдова, г. Кишинев
Контактная информация:

Re: IPFW

Непрочитанное сообщение Владимир » 2008-09-10 17:01:38

показывай правила :) в студию :)

vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: IPFW

Непрочитанное сообщение vasilastr » 2008-09-10 17:06:08

Код: Выделить всё

00080  467952 292928455 divert 8668 ip from any to 000.000.000000 via rl0
00083 4234967 236290056 divert 8668 ip from 10.7.1.0/24 to any out via rl0
00102       1        56 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00103   10014    840286 allow icmp from any to any
00410     133     22944 allow udp from any to me dst-port 500
00411      69     17936 allow udp from me 500 to any
00412   33622  15064416 allow esp from any to any
00415   16816   1020315 allow udp from me to any dst-port 53
00416       9      1251 allow udp from any 53 to me
00500       0         0 allow ip from any to any via lo
00510 4201146 232679388 allow tcp from me to any via rl0 keep-state
00650   18137   2669375 allow ip from me to any

01020       0         0 allow ip from 10.7.1.0/24 to any via rl0
01021  445105 279704924 allow ip from any to 10.7.1.0/24 via rl0
01022 4621904 257404877 allow ip from 10.7.1.0/24 to any via xl0
01023  462394 290844051 allow ip from any to 10.7.1.0/24 via xl0
01026       0         0 allow tcp from 10.7.0.0/22 to me dst-port 20,21,80
01027       0         0 allow tcp from me 20,21,80 to 10.7.0.0/22
65535    1875    832904 allow ip from any to any

Covax
мл. сержант
Сообщения: 131
Зарегистрирован: 2008-04-27 23:54:31
Откуда: Витебск, Беларусь
Контактная информация:

Re: IPFW

Непрочитанное сообщение Covax » 2008-09-10 17:06:29

1. Пересмотреть политику применения keep-state.
2. Увеличить net.inet.ip.fw.dyn_max
3. Использовать limit src-addr
Последний раз редактировалось manefesto 2008-09-11 8:42:10, всего редактировалось 1 раз.
Причина: открой для себя [b]

Covax
мл. сержант
Сообщения: 131
Зарегистрирован: 2008-04-27 23:54:31
Откуда: Витебск, Беларусь
Контактная информация:

Re: IPFW

Непрочитанное сообщение Covax » 2008-09-10 17:07:54

А

Код: Выделить всё

 ipfw -d show 
что показывает?
Последний раз редактировалось manefesto 2008-09-11 8:43:41, всего редактировалось 1 раз.
Причина: оформление отвратное

vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: IPFW

Непрочитанное сообщение vasilastr » 2008-09-10 17:09:02

Кто куда ходит

vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: IPFW

Непрочитанное сообщение vasilastr » 2008-09-10 17:10:41

Код: Выделить всё

00510       0         0 (2s) STATE tcp 195.151.216.53 53911 <-> 56.157.14.0 80
00510       0         0 (1s) STATE tcp 195.151.216.53 23447 <-> 64.18.14.0 80
00510       0         0 (20s) STATE tcp 195.151.216.53 58262 <-> 176.91.14.0 80
00510       0         0 (20s) STATE tcp 195.151.216.53 19094 <-> 208.141.14.0 80
00510       3       327 (1s) STATE tcp 195.151.216.53 4686 <-> 64.13.232.216 80
00510       0         0 (19s) STATE tcp 195.151.216.53 58006 <-> 56.157.14.0 80
00510       0         0 (17s) STATE tcp 195.151.216.53 14486 <-> 64.18.14.0 80
00510       0         0 (17s) STATE tcp 195.151.216.53 63419 <-> 81.177.26.45 80
00510       0         0 (17s) STATE tcp 195.151.216.53 26518 <-> 56.157.14.0 80
00510       0         0 (15s) STATE tcp 195.151.216.53 29078 <-> 208.141.14.0 80
00510       0         0 (14s) STATE tcp 195.151.216.53 33430 <-> 56.157.14.0 80
00510       0         0 (14s) STATE tcp 195.151.216.53 8854 <-> 176.91.14.0 80
00510       0         0 (13s) STATE tcp 195.151.216.53 15803 <-> 81.177.26.45 80
00510       0         0 (12s) STATE tcp 195.151.216.53 32918 <-> 176.91.14.0 80
00510       0         0 (10s) STATE tcp 195.151.216.53 28566 <-> 64.18.14.0 80
00510       0         0 (9s) STATE tcp 195.151.216.53 14011 <-> 81.177.26.45 80
00510       0         0 (8s) STATE tcp 195.151.216.53 31894 <-> 64.18.14.0 80
00510       0         0 (5s) STATE tcp 195.151.216.53 48278 <-> 64.18.14.0 80
00510       0         0 (2s) STATE tcp 195.151.216.53 37819 <-> 81.177.26.45 80
00510       0         0 (1s) STATE tcp 195.151.216.53 7830 <-> 208.141.14.0 80
00510       0         0 (19s) STATE tcp 195.151.216.53 3985 <-> 64.18.14.0 80
00510       0         0 (19s) STATE tcp 195.151.216.53 15761 <-> 208.141.14.0 80

vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: IPFW

Непрочитанное сообщение vasilastr » 2008-09-10 17:15:25

И что это может быть как рас 510 правило :(

Covax
мл. сержант
Сообщения: 131
Зарегистрирован: 2008-04-27 23:54:31
Откуда: Витебск, Беларусь
Контактная информация:

Re: IPFW

Непрочитанное сообщение Covax » 2008-09-10 17:17:40

А

Код: Выделить всё

sysctl net.inet.ip.fw.dyn_max
какое число выдаёт?
Последний раз редактировалось manefesto 2008-09-11 8:42:41, всего редактировалось 1 раз.
Причина: открой для себя [code]

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35267
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: IPFW

Непрочитанное сообщение Alex Keda » 2008-09-10 21:17:07

на высоконагруженном сервере такое может быть и по естественным причинам.
пилите sysctl....
Убей их всех! Бог потом рассортирует...

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: IPFW

Непрочитанное сообщение dikens3 » 2008-09-10 21:23:35

lissyara писал(а):на высоконагруженном сервере такое может быть и по естественным причинам.
пилите sysctl....
:ROFL: :ROFL: Толпа асечников (ICQ) завалила шлюз в инет.... :ROFL: :ROFL:
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: IPFW

Непрочитанное сообщение zg » 2008-09-10 21:43:30

очень походит на вирусную активность, vasilastr давно сканились?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35267
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: IPFW

Непрочитанное сообщение Alex Keda » 2008-09-10 22:01:49

dikens3 писал(а):
lissyara писал(а):на высоконагруженном сервере такое может быть и по естественным причинам.
пилите sysctl....
:ROFL: :ROFL: Толпа асечников (ICQ) завалила шлюз в инет.... :ROFL: :ROFL:
а это шлюз? я чего-то упустил наверно....
======
единственный случай когда я с таким солкнулся - был веб-сервер.
там была очень большая нагрузка.
помогло пиление sysctl в части числа динамических правил и уменьшения времени их жизни.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: IPFW

Непрочитанное сообщение zingel » 2008-09-11 5:22:27

сделайте

Код: Выделить всё

sysctl -w net.inet.ip.fw.dyn_buckets=512
Z301171463546 - можно пожертвовать мне денег

vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: IPFW

Непрочитанное сообщение vasilastr » 2008-09-11 8:37:50

Код: Выделить всё

sysctl net.inet.ip.fw.dyn_max 
выдает 4096 половину максимума :(
Последний раз редактировалось manefesto 2008-09-11 8:43:13, всего редактировалось 1 раз.
Причина: открой для себя [code]

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: IPFW-too many dynamic rule

Непрочитанное сообщение zingel » 2008-09-11 9:08:01

поправьте на нужное, какие проблемы...
Z301171463546 - можно пожертвовать мне денег

vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: IPFW-too many dynamic rule

Непрочитанное сообщение vasilastr » 2008-09-11 9:13:04

После перезагрузки значения опять по умолчанию становятся :smile:

Аватара пользователя
alex3
лейтенант
Сообщения: 872
Зарегистрирован: 2006-11-20 16:47:56
Откуда: Переславль
Контактная информация:

Re: IPFW-too many dynamic rule

Непрочитанное сообщение alex3 » 2008-09-11 9:15:52

Код: Выделить всё

man sysctl.conf
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: IPFW-too many dynamic rule

Непрочитанное сообщение manefesto » 2008-09-11 9:20:37

vasilastr писал(а):После перезагрузки значения опять по умолчанию становятся :smile:
вписывать надо в /etc/sysctl.conf
я такой яростный шо аж пиздеЦ
Изображение

vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: IPFW-too many dynamic rule

Непрочитанное сообщение vasilastr » 2008-09-11 9:22:24

Спасибо :smile:

vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: IPFW-too many dynamic rule

Непрочитанное сообщение vasilastr » 2008-09-11 10:19:37

Создаю правило

Код: Выделить всё

ipfw add 750 allow ip from 192.168.0.1/24 to any keep-state limit src-addr 10
А но мне

Код: Выделить всё

ipfw: only one of keep-state and limit is allowed :(

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: IPFW-too many dynamic rule

Непрочитанное сообщение schizoid » 2008-09-11 10:52:21

или keep-stat или limit
keep-state
Правило с данным ключевым словом образует в брандмауэре динамическое правило для обработки всех пакетов принадлежащих данному соединению. Динамическое правило будет существовать до тех пор, пока через данное соединение идут пакеты или до тех пор, пока оно не будет удалено по таймауту. Размеры таймаутов регулируются через переменные ядра утилитой sysctl(8).
limit {src-addr | src-port | dst-addr | dst-port} N
То же, что и keep-state, но динамическое правило заводится только в том случае, если не превышен указанный предел. Таким образом, можно легко ограничить количество одновременных подключений к некоторому хосту или порту.
http://house.hcn-strela.ru/BSDCert/BSDA ... ipfw-howto
ядерный взрыв...смертельно красиво...жаль, что не вечно...

vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: IPFW-too many dynamic rule

Непрочитанное сообщение vasilastr » 2008-09-11 13:51:30

Так что же в этом правиле не так ??