Переполняются динамические правила и отвалиется интерфейс
Добавлено: 2015-11-03 22:13:02
Здравствуйте!
Столкнулся с такой проблемой:
Мои sysctl
Столкнулся с такой проблемой:
Сервер недоступен. Исходя из рисунка сетевого трафика в панели провайдера, я вижу чрезмерную нагрузку, что похоже на ддос. Выставив в правилах ipfw везде логирование, у меня на момент атаки вообще никаких записей нет.Nov 3 19:16:10 ns312234 kernel: ipfw: add_dyn_rule: Cannot allocate rule
Nov 3 19:16:10 ns312234 kernel: ipfw: ipfw_install_state: add parent failed
Nov 3 19:16:10 ns312234 last message repeated 399 times
Nov 3 19:16:10 ns312234 kernel: interrupt storm detected on "irq256:"; throttling interrupt source
Nov 3 19:16:10 ns312234 kernel: ipfw: ipfw_install_state: add parent failed
Nov 3 19:16:11 ns312234 last message repeated 1805 times
Мои sysctl
# sysctl -a | grep net.inet.ip.fw
net.inet.ip.fw.one_pass: 1
net.inet.ip.fw.autoinc_step: 100
net.inet.ip.fw.verbose: 1
net.inet.ip.fw.verbose_limit: 5
net.inet.ip.fw.default_rule: 65535
net.inet.ip.fw.tables_max: 128
net.inet.ip.fw.default_to_accept: 1
net.inet.ip.fw.static_count: 26
net.inet.ip.fw.dyn_buckets: 256
net.inet.ip.fw.curr_dyn_buckets: 256
net.inet.ip.fw.dyn_count: 88
net.inet.ip.fw.dyn_max: 65535
net.inet.ip.fw.dyn_ack_lifetime: 50
net.inet.ip.fw.dyn_syn_lifetime: 20
net.inet.ip.fw.dyn_fin_lifetime: 1
net.inet.ip.fw.dyn_rst_lifetime: 1
net.inet.ip.fw.dyn_udp_lifetime: 10
net.inet.ip.fw.dyn_short_lifetime: 5
net.inet.ip.fw.dyn_keepalive: 1
net.inet.ip.fw.enable: 1
Понимаю, что полный нуб в этом, но, пожалуйста, подскажите решения.# vmstat -i
interrupt total rate
irq1: atkbd0 5 0
cpu0:timer 185177266 998
irq256: em0:rx 0 29087187 156
irq257: em0:tx 0 23744727 127
irq258: em0:link 87015541 469
irq262: ahci0:ch0 17349612 93
irq263: ahci0:ch1 17347408 93
cpu1:timer 7662144 41
cpu6:timer 14458951 77
cpu3:timer 11251889 60
cpu7:timer 9609681 51
cpu4:timer 13010978 70
cpu2:timer 20906900 112
cpu5:timer 10872506 58
Total 447494795 2412