Очень много коннектов на 1 внутр IP
-
Я что-то раньше как-то внимания не обращал, что цифра 47'000 в State table size это максимальное число соединений которое сенс в состоянии переварить?
47000 соединений это дефолтное число которое выдается системой и дефолт я так понял зависит от оперативки. Я на своем железе видел потолок этих соединений, результатом был очень долгий отклик от сенса, жуткие тормоза в гуе и т.п. И весь промежуток был занят одним ip адресом, точнее на него шли коннекты извне, похожие на те что на скринах.
p.s. Еще результатом перебора коннектов или еще чего либо является полное пропадание ответа LAN интерфейса на запросы. Сервер стоит удаленно, неподвижно, на упсе, поэтому кроме как на переполнение коннектов у меня подозрение ни на что не падает…(хотя имеются подозрения и на железо) А такой симптом, как полное отсутствие пинга на LAN появляется уже очень регулярно и часто(( спасает пока только ребут.
-
неконтролируемая малая домашная сеть
задать аргументированно вопрос владельцу этой сети, а чем он собственно, занимается таким, что создаёт избыточную нагрузку на ваше оборудование. Вполне может статься, что у него функционирует сервер управления ботами/вирусным по, и через некоторое время к вам придут дяди в штатском.
зависит от оперативки
а какое у вас количество оперативки?
-
Ограничьте в правилах количество соединений на 1 IP адрес некоторым пределом. Настройте шейпер на резервирование полосы для служебных нужд (трафик на LAN pfSense + DNS + ICMP).
-
задать аргументированно вопрос владельцу этой сети, а чем он собственно, занимается таким, что создаёт избыточную нагрузку на ваше оборудование. Вполне может статься, что у него функционирует сервер управления ботами/вирусным по, и через некоторое время к вам придут дяди в штатском.
"Владелец сети" я и оборудование мое:) Ничем таким страшным никто не занимается и дядям в штатском тут делать нечего, вы просто утрируете:)
а какое у вас количество оперативки?
Оперативки 512мб
-
Ограничьте в правилах количество соединений на 1 IP адрес некоторым пределом.
А можно чуть подробнее, как осуществить? Надеюсь без шейпера обойтись а вот потолок соединений для каждого внутр. ip сделать пониже это было бы в самый раз.
-
Ограничьте в правилах количество соединений на 1 IP адрес некоторым пределом.
А можно чуть подробнее, как осуществить? Надеюсь без шейпера обойтись а вот потолок соединений для каждого внутр. ip сделать пониже это было бы в самый раз.
В правиле - Advanced features - Advanced Options - Maximum state entries per host
-
не могут ли это торенты быть?
-
В правиле - Advanced features - Advanced Options - Maximum state entries per host
Спасибо, опробую точечно проблемные ip ограничить.
-
@xtc:
не могут ли это торенты быть?
Нет) У меня конечно были мысли про торренты, но по ним качают не именно 2-3 ip'шника в сети, а многие и со многими этой картины не наблюдается….
-
Ув.dvserg. Правильно ли я сделал по правилам, можете подкорректировать пожалуйста? За пару дней такой ситуации с переполнением state не возникало, но меня мучают сомнения за правильность моих действий и если не затруднит расскажите пожалуйста чуть подробнее про
Настройте шейпер на резервирование полосы для служебных нужд (трафик на LAN pfSense + DNS + ICMP).
Заранее спасибо!