[ Home | Liste | F.A.Q. | Risorse | Cerca... ]


[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]


Archivio: openbsd@sikurezza.org
Soggetto: Re: [openbsd] problema cluster firewall
Mittente: Marco Munari
Data: Fri, 29 Sep 2006 10:27:15 +0200 (CEST)
"Mailing" == Mailing List Manager <list@xxxxxxxxxxxxx> writes:

>From: rik <rikcy76(at)gmail.com>

>Buonasera a tutta la lista.  Ho un problema con un cluster di firewall
>Openbsd (3.7)+CARP+Pfsync
>Le macchine sono dei biprocessori p3 1ghz con 512 mb di ram ognuno.
>Gestiscono attualmente dai 10 ai 20 Mbit/s di traffico con pochissime


>regole di pf, circa 40.

Ovverossia...


>Da alcune settimane, all'aumentare del numero di stati, i firewall vanno in
>crash e si riavviano da soli (? capitato con 20.000 stati ma anche con circa
>12.000).
>Analizzando i risultati ottenuti tramite vmstat -m e netstat -m si nota che
>la percentuale di memoria occupata ? sempre piuttosto alta:
>con vmstat -m
>In use 1518K, total allocated 2696K; utilization 56.3%

>con netstat -m
>134 mbufs in use:
>       130 mbufs allocated to data
>       1 mbuf allocated to packet headers
>       3 mbufs allocated to socket names and addresses
>130/146/8192 mbuf clusters in use (current/peak/max)
>336 Kbytes allocated to network (87% in use)
>0 requests for memory denied
>0 requests for memory delayed
>0 calls to protocol drain routines


>Secondo voi i reboot possono essere causati dall'esaurimento delle risorse?
>Com'? possibile aumentare le risorse allocate in modo da evitare il problema
>(le macchine mi sembrano sinceramente pi? che sufficienti per gestire questa
>mole di traffico)
>Qualcuno ha mai avuto problemi simili?
>grazie mille per l'aiuto

>Alessandro


sudo pfctl -s memory


Ad occhio per le tue macchine ti serve in pf.conf:

set limit states 40000

set timeout { adaptive.start 10000, adaptive.end 39000 }


Saluti dall'Irlanda,
MARco
-- 
http://www.allerta.it/
x(t),y(t) = th(3t-34.5)*e^[-(3t-34.5)^2]/2-4.3+e^(-1.8/t^2)/(.8*atg(t-
3)+2)(t-1.8)-.3th(5t-42.5),(1.4e^[-(3t-34.5)^2]+1-sgn[|t-8.5|-.5]*1.5*
|sin(pi*t)|^[2e^(-(t-11.5)^2)+.5+e^(-(.6t-3.3)^2)])/(.5+t)+1  ; 0<t<14




[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005