Trosicku jsem postoupil v patrani. Vetsina zdroju na google a pod toto resi v souvislosti s Apache serverem, i ja ho mam.
Zatim mam dojem, ze tcp zustane ve fin_wait_2 protoze v nastaveni Apache mam povolene KeepAlive a v ipfw ho mam taky net.inet.ip.fw.dyn_keepalive=1. Takze nabyvam dojmu, ze si tihle dve "keep-alive" spolu obcas vymeneji packet, ktery zajisti, ze spojeni zustane ve stavu fin_wait_2. Stav zatim resim tak, ze na 5 minut rucne v ipfw smazu check-state a ono pomalu zmizi tech 800 cekajicich spojeni. Zdenek Bill píše v Út 17. 07. 2007 v 13:05 +0200: > Zdravim, > michal_sjx wrote: > > Zdravim :), > > > > Nastavil jsem na serveru toto ipfw pravidlo: > > > > 00100 check-state > > 00200 allow tcp from any to me setup limit src-addr 20 > > 65535 allow ip from any to any > > > > Nastavil jsem ho za ucelem zamezeni aby jeden navstevnik webu nemohl > > otevrit vice jak 20 TCP spojeni (Delalo to problemy s webem, kdyz nekdo > > otevrek 150 socketu na port 80). > > > > Od te doby vse ok. > > > > A zaroven od te doby se rapidne meni pomer mezi ESTABLISHED:WAIT.... . > > Pred nastavenim vyse uvedenych pravidel to bylo cca 1:3. Po tydnu > > provozu s limit pravidlem je pomer 1:300 a to me zacina desit. > > > > Chtel bych se tedy zeptat jestli je to normalni, jestli mam > > predpokladat, ze mi dojde pamet kvuli alokovanym socketum a tak dale. > > Proste me toto chovani dost prekvapilo, ale je mozne, ze je to nejaka > > pomucka jak je naprogramovane pravidlo limit (nezkoumal jsem). Pokud > > mate neco zajimaveho, rad se priucim :). > > > pro vyreseni problemu mozna postaci > http://www.freebsd-howto.com/HOWTO/Ipfw-Advanced-Supplement-HOWTO > > Jedna se o FreeBSD 5.4-RELEASE-p22, options IPFIREWALL v kernelu. > > > > > > Dodatek: Dnes uj uplynula nejaka doba a tcp wait se mi taknejak ustalilo > > na 750. Mozna to je tim, ze je vedro a lidi jsou u vody. Dnesni pomer > > mam tedy 5:750 a to se mi zda strasne divne chovani. > > > > > > diky za nazory michal > > > Zdenek -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
