Problem Z Dostępem Do I Z Internetu

[JaG]

Witam

 

O tuż spotkał mnie następujący problem sytuacja wygląda tak:

w przypadku nie wielkiego obciążania z sieci lokalnej, wszystko jest w porządku nie ma problemów z internetem i zewnętrznym dostępem do serwera,

problemy zaczynają się przy dużym obciążeniu z siec lokalnej ( przypuszczam że to ruch p2p ale 100% pewności nie mam)

łączę nie tyle co działa wolno, po prostu przestaje działać co ciekawsze łączenie się z internetem z sieci lokalnej jest uciążliwe ale możliwe jeśli chodzi o usługi po typowo z internetu, połączenie z serwerem sprawia już problemy większe (www,mail) co chwile zrywa i nie da się czasem nawet załadować strony ( z lokalnego serwera). Podłączenie do serwera z zewnątrz jest prawie nie możliwe, czasem uda się ustanowić ssh ale www, czy też mail, ftp jest prawie awykonalne.

Jeśli dobrze za obserwowałem problemy pojawiły się w raz ze wzrostem użytkowników w sieci lokalnej oraz faktem iż Ci użytkownicy za pewne korzystają z programów p2p

 

przypuszczam że problem leży gdzieś w iptables lub innym miejscu odpowiadającym za forward pakietów ale nie mogę niestety znaleźć co dokładnie jest wąskim gardłem

 

czy ktoś z Was miał może podobny problem i wie jak go rozwiązać ?

System to fedora 10

Linux 2.6.27.30-170.2.82.fc10.i686

 

bez poważnych update, zainstalowana, skonfigurowana a że działa to nic więcej z nią nie robiłem

 

usługi głownie to www,mail,ftp,smb,route nic szczególnego

 

będę bardzo wdzięczny za każdą pomoc

 

Pozdrawiam

[esail]

Trzymanie starego systemu, bez "powaznych update" jako serwer to proszenie sie o problemy. Moja propozycja to upgrade do najnowszej wersji i dopiero wtedy rozwiazywanie problemów. Calkiem mozliwe, ze ktos Ci serwer zhakowal (sprawdz logi).

F10 jest nie wspierana od bodajze roku, niech mnie ktos poprawi bo pewien nie jestem.

Es.

[JaG]

Więc tak sprawdzałem logi i nic nie znalazłem, przynajmniej nic podejrzanego. Po za tym wydaje mi się że takie zhakowanie było by bez sensowne po za tym nie wiem co

mogło zostać zmienione aby dać taki efekt

System jest postawiony krócej niż 2 lata a że miałem w tedy akurat fc10 to taki zainstalowałem, skoro proponujesz update, to jaką jego formę byś sugerował aby, tak aby było z tym najmniej roboty i można było to zrobić zdalnie ?

 

Będę wdzięczny za każdą pomoc i sugestie

 

Pozdrawiam

[esail]

Zobacz sobie narzędzie, które nazywa się preupgrade.

su -c "yum info preupgrade"

Jak już poczytasz co i jak to zainstaluj i odpal.

su -c "yum install preupgrade"
su -c "preupgrade"

 

Pozdrawiam,

Es

[JaG]

Informacji mało

 

ale jak rozumiem, to cacko ściąga pliki instalacyjne fedory i przy restarcie upgraduje system ? (rozumiem że konfiguracja zostaje bez zmian ? )

 

 

w między czasie odpaliłem "yum update" ale niestety to nie naprawiło sytuacji

 

jak mogę prześledzić ruch sieciowy aby "wyczaić" co generuje problem ?

 

Pozdrawiam

JaG

[esail]

Poczytaj sobie tu http://www.linux.com/archive/feed/122165, potrzebujesz jakiegoś analizatora ruchu który by Ci pokazał którzy klienci są odpowiedzialni za zatykanie pasma. Czy w ogóle używasz jakiegoś programu do "inteligentnego" podziału pasma?

[JaG]

Witaj

 

trochę poczytałem ale nad tym będę musiał jeszcze posiedzieć

ogólnie muszę ustalić co zatyka łączę i dlaczego a tak (_na prawdę_ → naprawdę) ORT to nie zatyka bo transfery idą po 200 kbytes ( na tym samym łączu jest drugi server do którego łączę się bez problemów) tu raczej je coś ogranicza na samym serwerze. Nie używam żadnego programu do podziału pasma bo sieć nie jest wielka (ok 10 userów + server) a łącze ok 4 mbitów wszystko na iptables i tyle, i nigdy nie było problemów (do tego maszyn 2x1,4 tualatin 1,5 Gb ramu, dyski sata 700 gb). Nie wiem co się dzieje i co się zmieniło że jest problem czy coś z serverem czy jednak coś z lokala wychodzi, za zaznaczę dodatkowo że z lokala net chodzi w miarę czasem coś zerwie ale da się żyć największy problem jest z połączeniem z zewnątrz. schemat połączeń wygląda następująco:

 

local vlan 1 (eth1.2)

/

internet(eth0)

\

local vlan 2 (eth1.3)

 

nic skomplikowanego, jedyne co to vlan 1 widziany jest w internecie pod ip 1.1.1.2, vlan 2 pod ip 1.1.1.3, a serwer pod ip 1.1.1.1 to jest cała komplikacja w sieci

[JaG]

Witam ponownie

 

temat niestety jeszcze nie rozwiązany ale pojawiły się nowe podejrzenia

 

jako że na razie nie udało mi się przeprowadzić z sukcesem upgrade fc10 do wyższej wersji

to mam pytanie jak na linuxowego nata wpływają programy ściągające torenty ??

 

z moich dotychczasowych obserwacji wynika iż przyczyną problemów są tego typu programy

nie zależnie od prędkości z jaką się ściąga (program z ustawionym limitem na 50kbps)

gdy działa jest problem z dostępem gdy go wyłączymy problem znika

 

czy ktoś może miał podobny problem i wie jak go rozwiązać ?

 

 

Pozdrawiam

[sPeRaCz.PL]

Skoro masz 100% podejrzenie, ze to software typu "torrenty" jest przyczyna zaistnialej sytuacji to zablokuj wszystkie porty "domyslne" z których takowe programy korzystaja. Podejrzewam, ze szaremu userowi nie bedzie juz sie chcialo szukac wolnego portu, aby cos sciagac z p2p - tzn. nie bedzie mu sie chcialo nasluchiwac.

 

Tylko do mojej sugesti bedzie potrzebny router obslugujacy QOS na którym ustawisz priorytety konkretnych protokolów. Jezeli p2p dziala w ramach Twojej sieci, to moja propozycja bedzie nieskuteczna.

 

Chodzi mi przede wszystkim o porty:

 

TCP 1000 - 8000

UDP 1000 - 4568

UDP 4570 - 8000

TCP 410 - 412

UDP 410 - 412

 

Przetestuj ipp2p [http://www.ipp2p.org/] - w wiekszosci przypadków pomaga. A jezeli ktos bedzie korzystal z kazaa lub emule itp. to one potrafia nawet na porcie 80 dzialac bez problemu. Rozwiazaniem jest wtedy postawienie proxy na porcie 80 co nie zawsze jest mozliwe.

[@WalDo]

Albo zeby bylo mniej drastycznie, to mozna ograniczyc ilosc polaczen na uzytkownika albo zmniejszyc TTL polaczen. Gdzies czytalem, ze problemy robia sie m.in. dlatego, ze torrenty nawiazuja jakies gigantyczne ilosci polaczen, które pózniej "zyja" w statusach FIN_WAIT, FIN_WAIT_2 itp.

Na 100% nie jestem pewien

 

[EDIT]

Zamykanie portów chyba sie nie sprawdzi. To mozna latwo obejsc a wystarczy jeden gosc w sieci, zeby lacze zapaskudzic.

[JaG]

Gdzieś czytałem, że problemy robią się m.in. dlatego, że torrenty nawiązują jakieś gigantyczne ilości połączeń, które później "żyją" w statusach FIN_WAIT, FIN_WAIT_2 itp.

Na 100% nie jestem pewien

 

 

Właśnie na to obstawiam bo łącze nie jest zbyt obciążone a mimo to są problemy

 

jak ogranicznyć na firewallu ilość tych połączeń ?

 

nie chce blokować użytkownikom dostępu a jedynie sprawić by nie było problemów

[sPeRaCz.PL]

Mozna jeszcze utworzyc regule,która blokowala by te porty, ale dla konkretnego adresu MAC karty sieciowej, wiec wtedy nawet jeden "gosciu" w sieci nic nie namiesza, bo konfiguracje bedzie trzymal serwer/router, a on jedynie bedzie mógl korzystac z konkretnego protokolu http lub, takiego na jaki pozwoli mu admin.

[JaG]

a jak ograniczyc ilosc polaczen ? na dane ip bo nie chce 100% restrykcji

 

[EDIT]

 

moze inaczej jak najskuteczniej ograniczyc ilosc polaczen na dane ip aby wszystko im dzialalo i nie powstawal zator

 

a tak swoja droga jesli problem polega na takim zatykaniu wlasnie to czy przy restarcie sieci nie powinien ustepowac na jakis dluzszy czas ?