forum.lissyara.su

Добавлено: **2008-09-10 16:34:00**

Добрый день !!!
не потскажите что означает вот это сообщение

Ipfw:install state:too many dynamic rules

Добавлено: **2008-09-10 16:56:35**

В правилах ipfw используется keep-state, в результате чего создаются динамические правила.
Их колличество ограничено переменно net.inet.ip.fw.dyn_max по умолчанию равное 1000 (по-моемому).
Ну и это сообщение вылазит когда это колличество превышено.

Посмотри

Код: Выделить всё

 ipfw -d show

, может тебя флудят.

Добавлено: **2008-09-10 17:00:15**

А как это победить ??

Добавлено: **2008-09-10 17:01:38**

показывай правила

в студию

Добавлено: **2008-09-10 17:06:08**

Код: Выделить всё

00080  467952 292928455 divert 8668 ip from any to 000.000.000000 via rl0
00083 4234967 236290056 divert 8668 ip from 10.7.1.0/24 to any out via rl0
00102       1        56 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00103   10014    840286 allow icmp from any to any
00410     133     22944 allow udp from any to me dst-port 500
00411      69     17936 allow udp from me 500 to any
00412   33622  15064416 allow esp from any to any
00415   16816   1020315 allow udp from me to any dst-port 53
00416       9      1251 allow udp from any 53 to me
00500       0         0 allow ip from any to any via lo
00510 4201146 232679388 allow tcp from me to any via rl0 keep-state
00650   18137   2669375 allow ip from me to any

01020       0         0 allow ip from 10.7.1.0/24 to any via rl0
01021  445105 279704924 allow ip from any to 10.7.1.0/24 via rl0
01022 4621904 257404877 allow ip from 10.7.1.0/24 to any via xl0
01023  462394 290844051 allow ip from any to 10.7.1.0/24 via xl0
01026       0         0 allow tcp from 10.7.0.0/22 to me dst-port 20,21,80
01027       0         0 allow tcp from me 20,21,80 to 10.7.0.0/22
65535    1875    832904 allow ip from any to any

Добавлено: **2008-09-10 17:06:29**

1. Пересмотреть политику применения keep-state.
2. Увеличить net.inet.ip.fw.dyn_max
3. Использовать limit src-addr

Добавлено: **2008-09-10 17:07:54**

А

Код: Выделить всё

 ipfw -d show

что показывает?

Добавлено: **2008-09-10 17:09:02**

Кто куда ходит

Добавлено: **2008-09-10 17:10:41**

Код: Выделить всё

00510       0         0 (2s) STATE tcp 195.151.216.53 53911 <-> 56.157.14.0 80
00510       0         0 (1s) STATE tcp 195.151.216.53 23447 <-> 64.18.14.0 80
00510       0         0 (20s) STATE tcp 195.151.216.53 58262 <-> 176.91.14.0 80
00510       0         0 (20s) STATE tcp 195.151.216.53 19094 <-> 208.141.14.0 80
00510       3       327 (1s) STATE tcp 195.151.216.53 4686 <-> 64.13.232.216 80
00510       0         0 (19s) STATE tcp 195.151.216.53 58006 <-> 56.157.14.0 80
00510       0         0 (17s) STATE tcp 195.151.216.53 14486 <-> 64.18.14.0 80
00510       0         0 (17s) STATE tcp 195.151.216.53 63419 <-> 81.177.26.45 80
00510       0         0 (17s) STATE tcp 195.151.216.53 26518 <-> 56.157.14.0 80
00510       0         0 (15s) STATE tcp 195.151.216.53 29078 <-> 208.141.14.0 80
00510       0         0 (14s) STATE tcp 195.151.216.53 33430 <-> 56.157.14.0 80
00510       0         0 (14s) STATE tcp 195.151.216.53 8854 <-> 176.91.14.0 80
00510       0         0 (13s) STATE tcp 195.151.216.53 15803 <-> 81.177.26.45 80
00510       0         0 (12s) STATE tcp 195.151.216.53 32918 <-> 176.91.14.0 80
00510       0         0 (10s) STATE tcp 195.151.216.53 28566 <-> 64.18.14.0 80
00510       0         0 (9s) STATE tcp 195.151.216.53 14011 <-> 81.177.26.45 80
00510       0         0 (8s) STATE tcp 195.151.216.53 31894 <-> 64.18.14.0 80
00510       0         0 (5s) STATE tcp 195.151.216.53 48278 <-> 64.18.14.0 80
00510       0         0 (2s) STATE tcp 195.151.216.53 37819 <-> 81.177.26.45 80
00510       0         0 (1s) STATE tcp 195.151.216.53 7830 <-> 208.141.14.0 80
00510       0         0 (19s) STATE tcp 195.151.216.53 3985 <-> 64.18.14.0 80
00510       0         0 (19s) STATE tcp 195.151.216.53 15761 <-> 208.141.14.0 80

Добавлено: **2008-09-10 17:15:25**

И что это может быть как рас 510 правило

Добавлено: **2008-09-10 17:17:40**

А

Код: Выделить всё

sysctl net.inet.ip.fw.dyn_max

какое число выдаёт?

Добавлено: **2008-09-10 21:17:07**

на высоконагруженном сервере такое может быть и по естественным причинам.
пилите sysctl....

Добавлено: **2008-09-10 21:23:35**

lissyara писал(а):на высоконагруженном сервере такое может быть и по естественным причинам.
пилите sysctl....

Толпа асечников (ICQ) завалила шлюз в инет....

Добавлено: **2008-09-10 21:43:30**

очень походит на вирусную активность, vasilastr давно сканились?

Добавлено: **2008-09-10 22:01:49**

dikens3 писал(а):
lissyara писал(а):на высоконагруженном сервере такое может быть и по естественным причинам.
пилите sysctl....
Толпа асечников (ICQ) завалила шлюз в инет....

а это шлюз? я чего-то упустил наверно....
======
единственный случай когда я с таким солкнулся - был веб-сервер.
там была очень большая нагрузка.
помогло пиление sysctl в части числа динамических правил и уменьшения времени их жизни.

Добавлено: **2008-09-11 5:22:27**

сделайте

Код: Выделить всё

sysctl -w net.inet.ip.fw.dyn_buckets=512

Добавлено: **2008-09-11 8:37:50**

Код: Выделить всё

sysctl net.inet.ip.fw.dyn_max

выдает 4096 половину максимума

Добавлено: **2008-09-11 9:08:01**

поправьте на нужное, какие проблемы...

Добавлено: **2008-09-11 9:13:04**

После перезагрузки значения опять по умолчанию становятся

Добавлено: **2008-09-11 9:15:52**

Код: Выделить всё

man sysctl.conf

Добавлено: **2008-09-11 9:20:37**

vasilastr писал(а):После перезагрузки значения опять по умолчанию становятся

вписывать надо в /etc/sysctl.conf

Добавлено: **2008-09-11 9:22:24**

Спасибо

Добавлено: **2008-09-11 10:19:37**

Создаю правило

Код: Выделить всё

ipfw add 750 allow ip from 192.168.0.1/24 to any keep-state limit src-addr 10

А но мне

Код: Выделить всё

ipfw: only one of keep-state and limit is allowed :(

Добавлено: **2008-09-11 10:52:21**

или keep-stat или limit

keep-state
Правило с данным ключевым словом образует в брандмауэре динамическое правило для обработки всех пакетов принадлежащих данному соединению. Динамическое правило будет существовать до тех пор, пока через данное соединение идут пакеты или до тех пор, пока оно не будет удалено по таймауту. Размеры таймаутов регулируются через переменные ядра утилитой sysctl(8).
limit {src-addr | src-port | dst-addr | dst-port} N
То же, что и keep-state, но динамическое правило заводится только в том случае, если не превышен указанный предел. Таким образом, можно легко ограничить количество одновременных подключений к некоторому хосту или порту.

http://house.hcn-strela.ru/BSDCert/BSDA ... ipfw-howto

Добавлено: **2008-09-11 13:51:30**

Так что же в этом правиле не так ??

forum.lissyara.su

IPFW-too many dynamic rule

IPFW-too many dynamic rule

Re: IPFW

Re: IPFW

Re: IPFW

Re: IPFW

Re: IPFW

Re: IPFW

Re: IPFW

Re: IPFW

Re: IPFW

Re: IPFW

Re: IPFW

Re: IPFW

Re: IPFW

Re: IPFW

Re: IPFW

Re: IPFW

Re: IPFW-too many dynamic rule

Re: IPFW-too many dynamic rule

Re: IPFW-too many dynamic rule

Re: IPFW-too many dynamic rule

Re: IPFW-too many dynamic rule

Re: IPFW-too many dynamic rule

Re: IPFW-too many dynamic rule

Re: IPFW-too many dynamic rule