ipac-ng 1.27 RH9 iptables all update - CPU jede na 100%

Dalibor Straka dast na panelnet.cz
Úterý Září 9 15:17:34 CEST 2003 

On Tue, Sep 09, 2003 at 02:43:56PM +0200, Boruvka wrote:
> > A netuhne vam to pri generovani statistik? Ja mam v cronu generovani
> statistik
> > po 5 minutach a zvlada mi to 486/66MHz. A to pres ni jede 15 klikacu.
> >
> Pocitac doslova nevytuhne, ale zpomali se datovy tok pres nej a po mistni
> siti je na nej odezva 10-20 ms namisto 1ms a nelze se na nej skoro
> prihlasit... po prihlaseni, ktere trva cca 3 minuty trva restart dalsich
> 5-15 minut a to jsou ostatni sluzby vypnute. Sledoval jsem to, tato situace
> jasne vznika po zavedeni pravidel fetchipac -S, generovani vystupu to
> nezpusobuje, je vypnute. Stejnetak to nezpusobuje ani snimani hodnot pomoci
> fetchipac... toto jsem take pozastavil... problem je v tom mnozstvi pravidel
> (cca 600) pro pocitani dat. Ono tech 600 pravidel bude fungovat OK, pokud
> pres server protece napr 5 Mb, ale jakmile zacnou lide vice tahat, server se
> zpomaluje a zpomaluje... je tam umera mezi pravidly a datovym tokem... vice
> pravidel=mensi datovy tok a opacne. Dle readme k ipac-ng neni treba zadny
> specialni zasah do iptables a ani bych po pravde nevedel jak na to, ipac sam
>
Nepochopil jsem, jestli tech 600 pravidel tam uz je a ipac prida dalsi.
Jestli tech 600 pravidel je jenom od ipac tak potes koste. iptables -L
a zkoumat. Moje 486 ma pravidel asi 50 a tece pres ni 128kbps. 

Co rika top pri vytizeni?

> by mel umet vlozit pravidla kaskadovite prave pomoci "user defined chains" a
> navesti %chain% v ipac.conf. Pameti RAM je dostatek, neni v dobe pretizeni
> zaplnena, pouze  to CPU ukazuje na 100% vytizeni systemem. Ma vyznam zmenit
> HW z AMD XP 2500 na P4 DUAL DDR 400MHz 2,2GHz (tvari se to precijen jako 2
> CPU a ma to 800 MHz). Ma to cenu zkouset?
> 
>     Dik Boruvka :)
> 
> 
Zkuste pouzit classic mode = yes, a jet pres soubory. Dale zruste
vsechna pravidla a nechte jedno, otestujte pridejte dalsi blok pravidel,
otestujte... Tim zjistite, jaka pravidla jsou problematicka. To tam mate
300 masin, ze potrebujete 600 pravidel? Nebo kazdemu cloveku zjistujete
http, ftp, imap,pop,smtp zvlast? To jsou mi moresy :)

pouzivam ipac-ng 1.23. Moje pravidla pro classic mode = yes bez deleni
na subkanaly:
http://www.panelnet.cz/linux/ipac.conf a rules.conf.iptables.

-- Dalibor Straka

Další informace o konferenci Linux