Re: настройка редиректора

Sergey Shepelev temotor at gmail.com
Wed Nov 19 19:19:09 MSK 2008


2008/11/19 Alex Vorona <voron at amhost.net>

> 19.11.2008 14:23, Sergey Shepelev wrote:
>
>>
>>        Клиентов часто ДДоСят, поэтому редиректор тоже под большой
>>        нагрузкой из-за этого.
>>
>>
>>    таймауты tcp, лимиты на сокеты и тп.
>>
>>
>> Совсем забыл упомянуть, ОС Linux, ядро 2.6.18. <http://2.6.18.>
>>
>> К сожалению, ранее не имел дела с тюнингом системных переменных.
>> Поправьте список, пожалуйста,
>>
>> net.ipv4.tcp_orphan_retries 4 # дефолтный был 7
>> net.ipv4.tcp_fin_timeout 10 # дефолтный был 30
>> net.ipv4.tcp_max_tw_buckets 60К # дефолтный был 180К, пишут, что этот
>> параметр для защиты от простых ДоС
>> net.ipv4.tcp_max_orphans 8192  # пишут, что этот параметр для защиты от
>> простых ДоС и каждый орфан жрет 64к памяти
>> net.ipv4.tcp_rmem 1K (default) (default) # то есть min я поставлю 1К, а
>> default и max оставлю как есть
>> net.ipv4.somaxconn 4K # если я правильно понимаю, это позволит выставить
>> listen backlog=4K
>>
> да, только net.core.somaxconn
>
> можно включить ещё для борьбы с TIME_WAIT
> net.ipv4.tcp_tw_reuse
> net.ipv4.tcp_tw_recycle
>
> для того чтобы не было видно uptime по сети, можно выключить
> net.ipv4.tcp_timestamps
>
> Если используется statefull фаервол, то неплохо или выключить conntrack для
> 80-го порта(-t raw -J NOTRACK) или увеличить net.ipv4.ip_conntrack_max
>
> ну и в nginx  reset_timedout_connection on;
>
>
Спасибо, всё стало гораздо лучше.

Только вот я писал "дефолтный был Х", это я на своей машине пробовал, на
сервере оказались другие числа.
net.ipv4.tcp_orphan_retries на сервере оказалось был 0, причем в sysctl.conf
не упомянут, подумал что увеличивать и не надо.
net.ipv4.tcp_max_orphans на сервере оказалось пустое значение, побоялся
менять.
net.ipv4.tcp_rmem тоже не менял.

и я не знаю как узнать statefull ли файрвол. Используется iptables.
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://nginx.org/pipermail/nginx-ru/attachments/20081119/8169edb3/attachment.html>


More information about the nginx-ru mailing list