Przedstawiana konfiguracja może w przypadku lekkim wyłączyć sieć, a ekstremalnym uszkodzić sprzęt.

Opis dla kart sieciowych intel z maszyna  16GB RAM. ( po tuningu starczy 4GB)

 

Pada sieć, pakiety są dropowane … drop na ethx, ruter gubi pakiety … ip_conntrack: table full, dropping packet

Ten problem to kwestia domyślnej konfiguracji linuxa, która nadaje się do hostingu i małych sieci.

Kilka sugestii jak zrobić z linuxa router na każdą skalę, 10G to nie problem! 😛

Bez komentarza …  jeśli się boisz … tych ekstremalnych zmian skontaktuj się:  [email protected]

/sbin/ifconfig eth0 txqueuelen 2000
/sbin/ifconfig eth1 txqueuelen 2000

ethtool -G eth0 rx 4096 tx 4096
ethtool -G eth1 rx 4096 tx 4096

sysctl -w net.ipv4.tcp_sack=0

#ip_conntrack
echo 17473 > /proc/sys/net/ipv4/netfilter/ip_conntrack_count
echo 20 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close
echo 1200 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
echo 30 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_syn_sent
echo 60 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close_wait
echo 30 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_time_wait
echo 10 > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout
echo 30 > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream

#ipv6 off
sysctl -w net.ipv6.conf.all.disable_ipv6=1
sysctl -w net.ipv6.conf.default.disable_ipv6=1

#source route
sysctl -w net.ipv4.conf.lo.accept_source_route=1
sysctl -w net.ipv4.conf.all.accept_source_route=0
sysctl -w net.ipv4.conf.default.accept_source_route=0
sysctl -w net.ipv4.conf.eth0.accept_source_route=0
sysctl -w net.ipv4.conf.eth1.accept_source_route=0

#redirs#zmina.06.04.2017
sysctl -w net.ipv4.conf.eth0.accept_redirects=0
sysctl -w net.ipv4.conf.eth1.accept_redirects=0
sysctl -w net.ipv4.conf.eth0.send_redirects=0
sysctl -w net.ipv4.conf.eth1.send_redirects=0
sysctl -w net.ipv4.conf.default.accept_redirects=0

#IPV4
sysctl -w net.ipv4.tcp_no_metrics_save=1
sysctl -w net.ipv4.tcp_moderate_rcvbuf=1
sysctl -w net.core.netdev_max_backlog=30000

sysctl -w net.ipv4.tcp_timestamps=1
sysctl -w net.ipv4.tcp_sack=1

#IPV4 MEM
sysctl -w net.ipv4.tcp_rmem=”4096 65536 33554432″
sysctl -w net.ipv4.tcp_wmem=”4096 65536 33554432″
sysctl -w net.ipv4.tcp_mem=”4096 65536 33554432″
sysctl -w net.core.rmem_max=”33554432″
sysctl -w net.core.wmem_max=”33554432″
sysctl -w net.core.rmem_default=”33554432″
sysctl -w net.core.wmem_default=”33554432″
sysctl -w net.core.optmem_max=”33554432″
echo 1 > /proc/sys/net/ipv4/tcp_moderate_rcvbuf
echo 0 > /proc/sys/net/ipv4/conf/eth1/rp_filter
echo 0 > /proc/sys/net/ipv4/conf/eth0/rp_filter
#IPV4 ARP
sysctl -w net.ipv4.conf.all.arp_ignore=1
sysctl -w net.ipv4.conf.all.rp_filter=0
sysctl -w net.ipv4.conf.default.rp_filter=0

sysctl -w net/ipv4/conf/default/arp_ignore=1
sysctl -w net/ipv4/conf/default/arp_announce=1

sysctl -w net/ipv4/conf/eth0/arp_ignore=1
sysctl -w net/ipv4/conf/eth0/arp_announce=1
sysctl -w net/ipv4/conf/eth1/arp_ignore=1
sysctl -w net/ipv4/conf/eth1/arp_announce=1

sysctl -w net.ipv4.conf.eth0.rp_filter=0
sysctl -w net.ipv4.conf.default.forwarding=1

To są konfiguracje  systemu, potem mądry Firewall .

Naprowadzenie … state ESTABLISHED  pomaga 😀

 

pozdrawiam

jr

Kumaty admin załapie ,  resztę proszę o kontakt.

 

ps.

Ponad 7GB na jednym routerku obsługuję. 😉