
<div dir="ltr">У меня такое бывает на серверах с CentOS 5.x/6.x. Помогает рестарт iptables. Попробуйте.<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">1 апреля 2013 г., 13:31 пользователь psevdokot <span dir="ltr"><<a href="mailto:nginx-forum@nginx.us" target="_blank">nginx-forum@nginx.us</a>></span> написал:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">по tcpdump-у видим, что syn-пакет на сервер приходит, но syn+ack в ответ не<br>

отправляется.<br>

<br>

Un Lexx Wrote:<br>

-------------------------------------------------------<br>

<div><div class="h5">> Tcp пакет то на указанный порт приходит? вообще судя по тому что то<br>

> появляется то исчезает думаю где то выше у вас стоит какое то<br>

> фаерволл<br>

> который отфильтровывает по кол-ву запросов на указанный порт X<br>

><br>

><br>

><br>

> 1 апреля 2013 г., 14:13 пользователь vstaf <<a href="mailto:nginx-forum@nginx.us">nginx-forum@nginx.us</a>><br>

> написал:<br>

><br>

> > Коллеги, надеюсь на помощь в решении периодически возникающей<br>

> проблемы.<br>

> ><br>

> > Суть:<br>

> ><br>

> > Есть nginx, обслуживающий 1 домен на 5 портах + SSL. Периодически<br>

> (раз в<br>

> > несколько недель) возникает ситуация, что при попытке коннекта на<br>

> > определенный порт (назовем его "Х") не проходят даже syn - ack.<br>

> Обычно это<br>

> > возникает при цифре 6к syn-запросов в секунду к серверу на<br>

> пресловутый порт<br>

> > "Х". На других портах nginx работает нормально и без проблем<br>

> выполняет все<br>

> > свои функции.<br>

> ><br>

> > О сервере: 2хXeon E5620, HT on, 12 gb ram. Centos 5<br>

> (2.6.18-238.19.1.el5PAE<br>

> > i386)<br>

> > Пиковая статистика из stub_status: rps ~1k, active connections ~8k<br>

> ><br>

> > sysctl.conf:<br>

> ><br>

> > net.ipv4.tcp_syncookies = 0<br>

> > net.ipv4.netfilter.ip_conntrack_max = 10000000<br>

> ><br>

> > net.ipv4.tcp_fin_timeout = 1<br>

> > net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait = 1<br>

> > net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait = 1<br>

> > net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait = 1<br>

> > net.ipv4.netfilter.ip_conntrack_tcp_timeout_close=1<br>

> > net.ipv4.ip_local_port_range = 5000 65000<br>

> ><br>

> > net.ipv4.tcp_max_syn_backlog = 3240000<br>

> > net.core.somaxconn = 3240000<br>

> > net.ipv4.tcp_max_tw_buckets = 1440000<br>

> > net.core.netdev_max_backlog=10000<br>

> ><br>

> > net.core.rmem_default = 8388608<br>

> > net.core.rmem_max = 16777216<br>

> > net.core.wmem_max = 16777216<br>

> > net.ipv4.tcp_mem = 1048576 2097152 3145728<br>

> > net.ipv4.tcp_rmem = 4096 65536 16777216<br>

> > net.ipv4.tcp_wmem = 4096 65536 16777216<br>

> ><br>

> > nginx:conf:<br>

> ><br>

> > worker_processes 16;<br>

> ><br>

> > events {<br>

> >     worker_connections  16384;<br>

> >     use epoll;<br>

> >     multi_accept on;<br>

> > }<br>

> ><br>

> > http {<br>

> ><br>

> >     tcp_nopush on;<br>

> >     tcp_nodelay on;<br>

> >     sendfile        on;<br>

> >     keepalive_timeout  10;<br>

> >     keepalive_requests 100000;<br>

> >     reset_timedout_connection on;<br>

> >     send_timeout 2;<br>

> >     client_header_timeout 10;<br>

> >     client_body_timeout 10;<br>

> >     proxy_buffering off;<br>

> ><br>

> >     fastcgi_buffers               4 256k;<br>

> >     fastcgi_buffer_size           256k;<br>

> ><br>

> >     client_max_body_size 10m;<br>

> ><br>

> ><br>

> > Понимаю, что по сути сам nginx тут не при чем, но хотелось бы<br>

> понять<br>

> > направление куда копать. Экспериментировал с разными параметрами<br>

> ядра -<br>

> > профита так и не получил. Когда количество синов в секунду падает<br>

> (до<br>

> > 1-1.5к) - все приходит в норму.<br>

> ><br>

> > Заранее спасибо.<br>

> ><br>

> > Posted at Nginx Forum:<br>

> > <a href="http://forum.nginx.org/read.php?21,237998,237998#msg-237998" target="_blank">http://forum.nginx.org/read.php?21,237998,237998#msg-237998</a><br>

> ><br>

> > _______________________________________________<br>

> > nginx-ru mailing list<br>

> > <a href="mailto:nginx-ru@nginx.org">nginx-ru@nginx.org</a><br>

> > <a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a><br>

> _______________________________________________<br>

> nginx-ru mailing list<br>

> <a href="mailto:nginx-ru@nginx.org">nginx-ru@nginx.org</a><br>

> <a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a><br>

<br>

</div></div>Posted at Nginx Forum: <a href="http://forum.nginx.org/read.php?21,237998,238000#msg-238000" target="_blank">http://forum.nginx.org/read.php?21,237998,238000#msg-238000</a><br>

<div class="HOEnZb"><div class="h5"><br>

_______________________________________________<br>

nginx-ru mailing list<br>

<a href="mailto:nginx-ru@nginx.org">nginx-ru@nginx.org</a><br>

<a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a></div></div></blockquote></div><br></div>