From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.2.3 (2007-08-08) on sa.int.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-1.4 required=5.0 tests=AWL,BAYES_00 autolearn=ham version=3.2.3 Date: Fri, 11 Apr 2008 16:10:14 +0400 From: "Konstantin A. Lepikhov" To: ALT Linux sysadmin discuss Message-ID: <20080411121014.GB14544@lks.home> References: <47FF3CD7.5070504@khavr.com> MIME-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: <47FF3CD7.5070504@khavr.com> X-Operation-System: ALT Linux Sisyphus (20071221) 2.6.22-wks-pae-alt1 User-Agent: Mutt/1.5.17 (2007-11-01) Subject: Re: [Sysadmins] iptables performance X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.10b3 Precedence: list Reply-To: ALT Linux sysadmin discuss List-Id: ALT Linux sysadmin discuss List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 11 Apr 2008 12:10:16 -0000 Archived-At: List-Archive: Hi Andriy! Friday 11, at 01:26:31 PM you wrote: > Подскажите тёмному какие ручки в ядре нужно дёргать, чтобы через iptables > можно было прогонять поток syn-flood-а в 20-40Mbps? Правил фильтрации > где-то от сорока тысяч. > > Сейчас при превышении потоком определённой границы (1-2Mbps кажется), > начинается дикая потеря пакетов, 100%-я загрузка одного из ядер оптерона > hardware и software interrupts и следующие сообщения в логах: > > TCP: too many of orphaned sockets > Out of socket memory > > Openvz ядро. > > По результатам гугленья, ручки tcp сейчас подкручены следующим образом: > версия ovz ядра какая? -- WBR et al.