Очень много коннектов на 1 внутр IP



  • Доброго времени суток. Люди, проблема такая: время от времени создается очень много внешних коннектов на внутренний адрес клиента нашей сети (неконтролируемая малая домашная сеть), подобную картину я видел с двумя или тремя внутренними ip адресами. У меня возникает вопрос, что это такое? Вирус или может торренты или еще что нибудь похуже. Просто закралось подозрение, что при нормальной работе других клиентов столько коннектов создается только у некоторых и скидываются эти коннекты либо очень долго либо я невыдерживаю и скидываю их вручную, после чего эта картина может не появляться несколько дней, пока на очередной внутренний ip не полезут соединения извне. Количество state на 1 ip было максимально до 40000, тоесть один человек забивал всю таблицу соединений, тоесть сервер просто спасал ребут и ничего более.

    Если у кого будут мысли по этому поводу, пожалуйста, поделитесь! Заранее спасибо!







  • Я что-то раньше как-то внимания не обращал, что цифра 47'000 в State table size это максимальное число соединений которое сенс в состоянии переварить?



  • @aleksvolgin:

    Я что-то раньше как-то внимания не обращал, что цифра 47'000 в State table size это максимальное число соединений которое сенс в состоянии переварить?

    47000 соединений это дефолтное число которое выдается системой и дефолт я так понял зависит от оперативки. Я на своем железе видел потолок этих соединений, результатом был очень долгий отклик от сенса, жуткие тормоза в гуе и т.п. И весь промежуток был занят одним ip адресом, точнее на него шли коннекты извне, похожие на те что на скринах.

    p.s. Еще результатом перебора коннектов или еще чего либо является полное пропадание ответа LAN интерфейса на запросы. Сервер стоит удаленно, неподвижно, на упсе, поэтому кроме как на переполнение коннектов у меня подозрение ни на что не падает…(хотя имеются подозрения и на железо) А такой симптом, как полное отсутствие пинга на LAN появляется уже очень регулярно и часто(( спасает пока только ребут.



  • неконтролируемая малая домашная сеть

    задать аргументированно вопрос владельцу этой сети, а чем он собственно, занимается таким, что создаёт избыточную нагрузку на ваше оборудование. Вполне может статься, что у него функционирует сервер управления ботами/вирусным по, и через некоторое время к вам придут дяди в штатском.

    зависит от оперативки

    а какое у вас количество оперативки?



  • Ограничьте в правилах количество соединений на 1 IP адрес некоторым пределом. Настройте шейпер на резервирование полосы для служебных нужд (трафик на LAN pfSense + DNS + ICMP).



  • @aleksvolgin:

    задать аргументированно вопрос владельцу этой сети, а чем он собственно, занимается таким, что создаёт избыточную нагрузку на ваше оборудование. Вполне может статься, что у него функционирует сервер управления ботами/вирусным по, и через некоторое время к вам придут дяди в штатском.

    "Владелец сети" я  и оборудование мое:) Ничем таким страшным никто не занимается и дядям в штатском тут делать нечего, вы просто утрируете:)

    а какое у вас количество оперативки?

    Оперативки 512мб



  • @dvserg:

    Ограничьте в правилах количество соединений на 1 IP адрес некоторым пределом.

    А можно чуть подробнее, как осуществить? Надеюсь без шейпера обойтись а вот потолок соединений для каждого внутр. ip сделать пониже это было бы в самый раз.



  • @panika:

    @dvserg:

    Ограничьте в правилах количество соединений на 1 IP адрес некоторым пределом.

    А можно чуть подробнее, как осуществить? Надеюсь без шейпера обойтись а вот потолок соединений для каждого внутр. ip сделать пониже это было бы в самый раз.

    В правиле - Advanced features - Advanced Options - Maximum state entries per host



  • не могут ли это торенты быть?



  • @dvserg:

    В правиле - Advanced features - Advanced Options - Maximum state entries per host

    Спасибо, опробую точечно проблемные ip ограничить.



  • @xtc:

    не могут ли это торенты быть?

    Нет) У меня конечно были мысли про торренты, но по ним качают не именно 2-3 ip'шника в сети, а многие и со многими этой картины не наблюдается….



  • Ув.dvserg. Правильно ли я сделал по правилам, можете подкорректировать пожалуйста? За пару дней такой ситуации с переполнением state не возникало, но меня мучают сомнения за правильность моих действий и если не затруднит расскажите пожалуйста чуть подробнее про

    Настройте шейпер на резервирование полосы для служебных нужд (трафик на LAN pfSense + DNS + ICMP).

    Заранее спасибо!







Locked