IPFW-too many dynamic rule

vasilastr

Добрый день !!!
не потскажите что означает вот это сообщение

Ipfw:install state:too many dynamic rules

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Covax · Непрочитанное сообщение **Covax** » 2008-09-10 16:56:35

В правилах ipfw используется keep-state, в результате чего создаются динамические правила.
Их колличество ограничено переменно net.inet.ip.fw.dyn_max по умолчанию равное 1000 (по-моемому).
Ну и это сообщение вылазит когда это колличество превышено.

Посмотри

Код: Выделить всё

 ipfw -d show

, может тебя флудят.

vasilastr

А как это победить ??

Владимир

показывай правила

в студию

vasilastr

Код: Выделить всё

00080  467952 292928455 divert 8668 ip from any to 000.000.000000 via rl0
00083 4234967 236290056 divert 8668 ip from 10.7.1.0/24 to any out via rl0
00102       1        56 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00103   10014    840286 allow icmp from any to any
00410     133     22944 allow udp from any to me dst-port 500
00411      69     17936 allow udp from me 500 to any
00412   33622  15064416 allow esp from any to any
00415   16816   1020315 allow udp from me to any dst-port 53
00416       9      1251 allow udp from any 53 to me
00500       0         0 allow ip from any to any via lo
00510 4201146 232679388 allow tcp from me to any via rl0 keep-state
00650   18137   2669375 allow ip from me to any

01020       0         0 allow ip from 10.7.1.0/24 to any via rl0
01021  445105 279704924 allow ip from any to 10.7.1.0/24 via rl0
01022 4621904 257404877 allow ip from 10.7.1.0/24 to any via xl0
01023  462394 290844051 allow ip from any to 10.7.1.0/24 via xl0
01026       0         0 allow tcp from 10.7.0.0/22 to me dst-port 20,21,80
01027       0         0 allow tcp from me 20,21,80 to 10.7.0.0/22
65535    1875    832904 allow ip from any to any

Covax · Непрочитанное сообщение **Covax** » 2008-09-10 17:06:29

1. Пересмотреть политику применения keep-state.
2. Увеличить net.inet.ip.fw.dyn_max
3. Использовать limit src-addr

Covax · Непрочитанное сообщение **Covax** » 2008-09-10 17:07:54

А

Код: Выделить всё

 ipfw -d show

что показывает?

vasilastr

Кто куда ходит

vasilastr

Код: Выделить всё

00510       0         0 (2s) STATE tcp 195.151.216.53 53911 <-> 56.157.14.0 80
00510       0         0 (1s) STATE tcp 195.151.216.53 23447 <-> 64.18.14.0 80
00510       0         0 (20s) STATE tcp 195.151.216.53 58262 <-> 176.91.14.0 80
00510       0         0 (20s) STATE tcp 195.151.216.53 19094 <-> 208.141.14.0 80
00510       3       327 (1s) STATE tcp 195.151.216.53 4686 <-> 64.13.232.216 80
00510       0         0 (19s) STATE tcp 195.151.216.53 58006 <-> 56.157.14.0 80
00510       0         0 (17s) STATE tcp 195.151.216.53 14486 <-> 64.18.14.0 80
00510       0         0 (17s) STATE tcp 195.151.216.53 63419 <-> 81.177.26.45 80
00510       0         0 (17s) STATE tcp 195.151.216.53 26518 <-> 56.157.14.0 80
00510       0         0 (15s) STATE tcp 195.151.216.53 29078 <-> 208.141.14.0 80
00510       0         0 (14s) STATE tcp 195.151.216.53 33430 <-> 56.157.14.0 80
00510       0         0 (14s) STATE tcp 195.151.216.53 8854 <-> 176.91.14.0 80
00510       0         0 (13s) STATE tcp 195.151.216.53 15803 <-> 81.177.26.45 80
00510       0         0 (12s) STATE tcp 195.151.216.53 32918 <-> 176.91.14.0 80
00510       0         0 (10s) STATE tcp 195.151.216.53 28566 <-> 64.18.14.0 80
00510       0         0 (9s) STATE tcp 195.151.216.53 14011 <-> 81.177.26.45 80
00510       0         0 (8s) STATE tcp 195.151.216.53 31894 <-> 64.18.14.0 80
00510       0         0 (5s) STATE tcp 195.151.216.53 48278 <-> 64.18.14.0 80
00510       0         0 (2s) STATE tcp 195.151.216.53 37819 <-> 81.177.26.45 80
00510       0         0 (1s) STATE tcp 195.151.216.53 7830 <-> 208.141.14.0 80
00510       0         0 (19s) STATE tcp 195.151.216.53 3985 <-> 64.18.14.0 80
00510       0         0 (19s) STATE tcp 195.151.216.53 15761 <-> 208.141.14.0 80

vasilastr

И что это может быть как рас 510 правило

Covax · Непрочитанное сообщение **Covax** » 2008-09-10 17:17:40

А

Код: Выделить всё

sysctl net.inet.ip.fw.dyn_max

какое число выдаёт?

Alex Keda

на высоконагруженном сервере такое может быть и по естественным причинам.
пилите sysctl....

dikens3 · Непрочитанное сообщение **dikens3** » 2008-09-10 21:23:35

lissyara писал(а):на высоконагруженном сервере такое может быть и по естественным причинам.
пилите sysctl....

Толпа асечников (ICQ) завалила шлюз в инет....

zg · Непрочитанное сообщение zg » 2008-09-10 21:43:30

очень походит на вирусную активность, vasilastr давно сканились?

Alex Keda

dikens3 писал(а):
lissyara писал(а):на высоконагруженном сервере такое может быть и по естественным причинам.
пилите sysctl....
Толпа асечников (ICQ) завалила шлюз в инет....

а это шлюз? я чего-то упустил наверно....
======
единственный случай когда я с таким солкнулся - был веб-сервер.
там была очень большая нагрузка.
помогло пиление sysctl в части числа динамических правил и уменьшения времени их жизни.

Непрочитанное сообщение **zingel** » 2008-09-11 5:22:27

сделайте

Код: Выделить всё

sysctl -w net.inet.ip.fw.dyn_buckets=512

vasilastr

Код: Выделить всё

sysctl net.inet.ip.fw.dyn_max

выдает 4096 половину максимума

Непрочитанное сообщение **zingel** » 2008-09-11 9:08:01

поправьте на нужное, какие проблемы...

vasilastr

После перезагрузки значения опять по умолчанию становятся

alex3 · Непрочитанное сообщение **alex3** » 2008-09-11 9:15:52

Код: Выделить всё

man sysctl.conf

vasilastr писал(а):После перезагрузки значения опять по умолчанию становятся

вписывать надо в /etc/sysctl.conf

vasilastr

Спасибо

vasilastr

Создаю правило

Код: Выделить всё

ipfw add 750 allow ip from 192.168.0.1/24 to any keep-state limit src-addr 10

А но мне

Код: Выделить всё

ipfw: only one of keep-state and limit is allowed :(

schizoid

или keep-stat или limit

keep-state
Правило с данным ключевым словом образует в брандмауэре динамическое правило для обработки всех пакетов принадлежащих данному соединению. Динамическое правило будет существовать до тех пор, пока через данное соединение идут пакеты или до тех пор, пока оно не будет удалено по таймауту. Размеры таймаутов регулируются через переменные ядра утилитой sysctl(8).
limit {src-addr | src-port | dst-addr | dst-port} N
То же, что и keep-state, но динамическое правило заводится только в том случае, если не превышен указанный предел. Таким образом, можно легко ограничить количество одновременных подключений к некоторому хосту или порту.

http://house.hcn-strela.ru/BSDCert/BSDA ... ipfw-howto

vasilastr

Так что же в этом правиле не так ??

forum.lissyara.su

IPFW-too many dynamic rule

IPFW-too many dynamic rule

Услуги хостинговой компании Host-Food.ru

Re: IPFW

Re: IPFW

Re: IPFW

Re: IPFW

Re: IPFW

Re: IPFW

Re: IPFW

Re: IPFW

Re: IPFW

Re: IPFW

Re: IPFW

Re: IPFW

Re: IPFW

Re: IPFW

Re: IPFW

Re: IPFW

Re: IPFW-too many dynamic rule

Re: IPFW-too many dynamic rule

Re: IPFW-too many dynamic rule

Re: IPFW-too many dynamic rule

Re: IPFW-too many dynamic rule

Re: IPFW-too many dynamic rule

Re: IPFW-too many dynamic rule

Re: IPFW-too many dynamic rule