JaG Napisano Listopad 25, 2010 Zgłoszenie Share Napisano Listopad 25, 2010 Witam O tuż spotkał mnie następujący problem sytuacja wygląda tak: w przypadku nie wielkiego obciążania z sieci lokalnej, wszystko jest w porządku nie ma problemów z internetem i zewnętrznym dostępem do serwera, problemy zaczynają się przy dużym obciążeniu z siec lokalnej ( przypuszczam że to ruch p2p ale 100% pewności nie mam) łączę nie tyle co działa wolno, po prostu przestaje działać co ciekawsze łączenie się z internetem z sieci lokalnej jest uciążliwe ale możliwe jeśli chodzi o usługi po typowo z internetu, połączenie z serwerem sprawia już problemy większe (www,mail) co chwile zrywa i nie da się czasem nawet załadować strony ( z lokalnego serwera). Podłączenie do serwera z zewnątrz jest prawie nie możliwe, czasem uda się ustanowić ssh ale www, czy też mail, ftp jest prawie awykonalne. Jeśli dobrze za obserwowałem problemy pojawiły się w raz ze wzrostem użytkowników w sieci lokalnej oraz faktem iż Ci użytkownicy za pewne korzystają z programów p2p przypuszczam że problem leży gdzieś w iptables lub innym miejscu odpowiadającym za forward pakietów ale nie mogę niestety znaleźć co dokładnie jest wąskim gardłem czy ktoś z Was miał może podobny problem i wie jak go rozwiązać ? System to fedora 10 Linux 2.6.27.30-170.2.82.fc10.i686 bez poważnych update, zainstalowana, skonfigurowana a że działa to nic więcej z nią nie robiłem usługi głownie to www,mail,ftp,smb,route nic szczególnego będę bardzo wdzięczny za każdą pomoc Pozdrawiam Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
esail Napisano Listopad 25, 2010 Zgłoszenie Share Napisano Listopad 25, 2010 Trzymanie starego systemu, bez "powaznych update" jako serwer to proszenie sie o problemy. Moja propozycja to upgrade do najnowszej wersji i dopiero wtedy rozwiazywanie problemów. Calkiem mozliwe, ze ktos Ci serwer zhakowal (sprawdz logi). F10 jest nie wspierana od bodajze roku, niech mnie ktos poprawi bo pewien nie jestem. Es. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
JaG Napisano Listopad 25, 2010 Autor Zgłoszenie Share Napisano Listopad 25, 2010 Więc tak sprawdzałem logi i nic nie znalazłem, przynajmniej nic podejrzanego. Po za tym wydaje mi się że takie zhakowanie było by bez sensowne po za tym nie wiem co mogło zostać zmienione aby dać taki efekt System jest postawiony krócej niż 2 lata a że miałem w tedy akurat fc10 to taki zainstalowałem, skoro proponujesz update, to jaką jego formę byś sugerował aby, tak aby było z tym najmniej roboty i można było to zrobić zdalnie ? Będę wdzięczny za każdą pomoc i sugestie Pozdrawiam Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
esail Napisano Listopad 25, 2010 Zgłoszenie Share Napisano Listopad 25, 2010 Zobacz sobie narzędzie, które nazywa się preupgrade. su -c "yum info preupgrade" Jak już poczytasz co i jak to zainstaluj i odpal. su -c "yum install preupgrade" su -c "preupgrade" Pozdrawiam, Es Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
JaG Napisano Listopad 25, 2010 Autor Zgłoszenie Share Napisano Listopad 25, 2010 Informacji mało ale jak rozumiem, to cacko ściąga pliki instalacyjne fedory i przy restarcie upgraduje system ? (rozumiem że konfiguracja zostaje bez zmian ? ) w między czasie odpaliłem "yum update" ale niestety to nie naprawiło sytuacji jak mogę prześledzić ruch sieciowy aby "wyczaić" co generuje problem ? Pozdrawiam JaG Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
esail Napisano Listopad 25, 2010 Zgłoszenie Share Napisano Listopad 25, 2010 Poczytaj sobie tu http://www.linux.com/archive/feed/122165, potrzebujesz jakiegoś analizatora ruchu który by Ci pokazał którzy klienci są odpowiedzialni za zatykanie pasma. Czy w ogóle używasz jakiegoś programu do "inteligentnego" podziału pasma? Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
JaG Napisano Listopad 26, 2010 Autor Zgłoszenie Share Napisano Listopad 26, 2010 Witaj trochę poczytałem ale nad tym będę musiał jeszcze posiedzieć ogólnie muszę ustalić co zatyka łączę i dlaczego a tak (_na prawdę_ → naprawdę) ORT to nie zatyka bo transfery idą po 200 kbytes ( na tym samym łączu jest drugi server do którego łączę się bez problemów) tu raczej je coś ogranicza na samym serwerze. Nie używam żadnego programu do podziału pasma bo sieć nie jest wielka (ok 10 userów + server) a łącze ok 4 mbitów wszystko na iptables i tyle, i nigdy nie było problemów (do tego maszyn 2x1,4 tualatin 1,5 Gb ramu, dyski sata 700 gb). Nie wiem co się dzieje i co się zmieniło że jest problem czy coś z serverem czy jednak coś z lokala wychodzi, za zaznaczę dodatkowo że z lokala net chodzi w miarę czasem coś zerwie ale da się żyć największy problem jest z połączeniem z zewnątrz. schemat połączeń wygląda następująco: local vlan 1 (eth1.2) / internet(eth0) \ local vlan 2 (eth1.3) nic skomplikowanego, jedyne co to vlan 1 widziany jest w internecie pod ip 1.1.1.2, vlan 2 pod ip 1.1.1.3, a serwer pod ip 1.1.1.1 to jest cała komplikacja w sieci Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
JaG Napisano Listopad 30, 2010 Autor Zgłoszenie Share Napisano Listopad 30, 2010 Witam ponownie temat niestety jeszcze nie rozwiązany ale pojawiły się nowe podejrzenia jako że na razie nie udało mi się przeprowadzić z sukcesem upgrade fc10 do wyższej wersji to mam pytanie jak na linuxowego nata wpływają programy ściągające torenty ?? z moich dotychczasowych obserwacji wynika iż przyczyną problemów są tego typu programy nie zależnie od prędkości z jaką się ściąga (program z ustawionym limitem na 50kbps) gdy działa jest problem z dostępem gdy go wyłączymy problem znika czy ktoś może miał podobny problem i wie jak go rozwiązać ? Pozdrawiam Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
sPeRaCz.PL Napisano Listopad 30, 2010 Zgłoszenie Share Napisano Listopad 30, 2010 Skoro masz 100% podejrzenie, ze to software typu "torrenty" jest przyczyna zaistnialej sytuacji to zablokuj wszystkie porty "domyslne" z których takowe programy korzystaja. Podejrzewam, ze szaremu userowi nie bedzie juz sie chcialo szukac wolnego portu, aby cos sciagac z p2p - tzn. nie bedzie mu sie chcialo nasluchiwac. Tylko do mojej sugesti bedzie potrzebny router obslugujacy QOS na którym ustawisz priorytety konkretnych protokolów. Jezeli p2p dziala w ramach Twojej sieci, to moja propozycja bedzie nieskuteczna. Chodzi mi przede wszystkim o porty: TCP 1000 - 8000 UDP 1000 - 4568 UDP 4570 - 8000 TCP 410 - 412 UDP 410 - 412 Przetestuj ipp2p [http://www.ipp2p.org/] - w wiekszosci przypadków pomaga. A jezeli ktos bedzie korzystal z kazaa lub emule itp. to one potrafia nawet na porcie 80 dzialac bez problemu. Rozwiazaniem jest wtedy postawienie proxy na porcie 80 co nie zawsze jest mozliwe. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
@WalDo Napisano Listopad 30, 2010 Zgłoszenie Share Napisano Listopad 30, 2010 Albo zeby bylo mniej drastycznie, to mozna ograniczyc ilosc polaczen na uzytkownika albo zmniejszyc TTL polaczen. Gdzies czytalem, ze problemy robia sie m.in. dlatego, ze torrenty nawiazuja jakies gigantyczne ilosci polaczen, które pózniej "zyja" w statusach FIN_WAIT, FIN_WAIT_2 itp. Na 100% nie jestem pewien [EDIT] Zamykanie portów chyba sie nie sprawdzi. To mozna latwo obejsc a wystarczy jeden gosc w sieci, zeby lacze zapaskudzic. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
JaG Napisano Listopad 30, 2010 Autor Zgłoszenie Share Napisano Listopad 30, 2010 Gdzieś czytałem, że problemy robią się m.in. dlatego, że torrenty nawiązują jakieś gigantyczne ilości połączeń, które później "żyją" w statusach FIN_WAIT, FIN_WAIT_2 itp. Na 100% nie jestem pewien Właśnie na to obstawiam bo łącze nie jest zbyt obciążone a mimo to są problemy jak ogranicznyć na firewallu ilość tych połączeń ? nie chce blokować użytkownikom dostępu a jedynie sprawić by nie było problemów Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
sPeRaCz.PL Napisano Listopad 30, 2010 Zgłoszenie Share Napisano Listopad 30, 2010 Mozna jeszcze utworzyc regule,która blokowala by te porty, ale dla konkretnego adresu MAC karty sieciowej, wiec wtedy nawet jeden "gosciu" w sieci nic nie namiesza, bo konfiguracje bedzie trzymal serwer/router, a on jedynie bedzie mógl korzystac z konkretnego protokolu http lub, takiego na jaki pozwoli mu admin. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
JaG Napisano Listopad 30, 2010 Autor Zgłoszenie Share Napisano Listopad 30, 2010 a jak ograniczyc ilosc polaczen ? na dane ip bo nie chce 100% restrykcji [EDIT] moze inaczej jak najskuteczniej ograniczyc ilosc polaczen na dane ip aby wszystko im dzialalo i nie powstawal zator a tak swoja droga jesli problem polega na takim zatykaniu wlasnie to czy przy restarcie sieci nie powinien ustepowac na jakis dluzszy czas ? Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się