Extremne zatizeny postfix
David Olszyñski
hisaak na ysoft.cz
Neděle Leden 13 13:13:08 CET 2002
On Sun, 13 Jan 2002, David Rohleder wrote:
> David Olszynski <hisaak na ysoft.cz> writes:
>
> > Dobry den.
> >
> > Mam velice neprijemny problem a nenasel jsem zatim zadne uspokojive
> > reseni. Na jednom serveru mam velice zatizeny postfix. V narazech tam
> > prijde i 30 spojeni za jednu vterinu. Normalne to pak pod 5 neklesa.
> > Skoro vzdy jde o prichozi maily pro neexistujici uzivatele (casto
> > kvuli errors-to z ruznych spamu pro jine servery). Problem je v tom,
> > ze ta spojeni chodi z tisicu ruznych ip adres z mnoha ruznych siti.
> > Load to vyhani i nad 10 a maily normalnim uzivatelum prestavaji prichazet.
> > Zkousel jsem ruzne menit nastaveni postfixu a alespon zmirnit dopady, ale
> > jde hlavne o to, aby se ty pocitace k postfixu vubec nedostaly.
> > Napsal jsem si skript, ktery podle toho, co se objevuje v maillogu,
> > blokuje na urcitou dobu prislusne ip adresy pomoci iptables. Nechal
> > jsem to chvili bezet a behem nekolika hodin tam bylo pres deset tisic
> > ip adres a jadro to celkem pochopitelne prestavalo stihat (v topu bylo vse
> > na 0% krome 99% u systemu).
>
> Toto je zpusobeno patrne jednim ze dvou duvodu:
>
> 1. skript pridaval ty IP adresy linearne za sebe, takze jadro muselo
> pro kazdy paket projit 10000 zaznamu. Zkus to trochu rozlozit,
> treba do nejake stromove struktury.
>
> 2. problem je v postfixu (ale asi ne, pokud se tech 99% neobjevovalo
> drive), reseni by patrne bylo pouzit a) rychlejsi stroj, b) jiny
> mailserver
Hardware je myslim rozumny (Athlon 1.3G, 640MB pameti) a nikdy jindy se to
nestavalo, takze jsem si skoro jist, ze to je ta prvni varianta. I tak me
ohromilo, ze to vydrzelo tak hodne.
Ty ip adresy se opravdu pridavaly linearne. Necekal jsem, ze jich bude az
tak hodne. S tou stromovou strukturou, mohlo by pomoct treba to, ze bych
vytvoril pro kazdou A sit vlastni retezec (pripadne i pro Bcka)? Taky
nevim, jestli bych mel v tech jednotlivych pravidlech specifikovat vice
podrobnosti (treba port 25, jen SYN pakety) a nebo bude rychlejsi to,
kdyz tam bude jen zdroj a DROP? Mozna bude nejlepsi mit ty podrobnosti
jen u tech pravidel, ktere budou jako cil volat ty nove retezce.
David Olszynski
Další informace o konferenci Linux