Quantcast

Problemas con PF cuando tiene muchas sesiones

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
1 message Options
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Problemas con PF cuando tiene muchas sesiones

Pasky.Org
Hola!

Tengo una máquina Soekris net4801 con OpenBSD 4.3. Llevábamos tiempo
teniendo problemas de rendimiento y con la aplicación pftop veía que
la cantidad de conexiones era bastante alta, entre los siete y nueve
mil conexiones. Entonces el rendimiento de la máquina caía en picado.
Entonces consulté por Internet cómo cerrar las conexiones ociosas,
pues vi que muchas de éstas se quedaban varias horas establecidas,
pero sin tener tráfico alguno.

En principio he probado con usar la directiva de PF "set optimization
aggressive", y ha bajado los tiempos de expiración desde las 24 a las
5 horas. Aún así me gustaría saber qué más posibilidades hay de
obligar a que estas conexiones expiren cuanto antes. Por ejemplo,
ahora tengo esta conexion:

PR     DIR     SRC                  DEST                      STATE
                                    AGE          EXP           PKTS
BYTES
tcp     Out     10.0.0.2:3727     193.104.0.210:80
ESTABLISHED:ESTABLISHED     03:31:28     01:28:53     7     842

Es una conexión que se inició hace tres horas y media y que de alguna
manera ha quedado como "zombi".

Sé que con el comando pfctl -k puedo eliminar entradas de la tabla de
estados, pero son demasiadas entradas las que tengo así. ¿Se puede
forzar con PF para bajar aún más esas 5 horas que da la directiva "set
optimization aggressive"?

Y ya puestos, hago una pregunta más. ¿Estas sesiones por qué se quedan
así como "zombis"? ¿Es culpa del cliente que no manda el
correspondiente paquete FIN para cerrar la conexión? ¿Es culpa del
servidor? Entiendo que el BSD no se entera de que la sesión ha debido
finalizar, y la mantiene hasta que expire.

Resumiendo, tengo dos dudas: 1) Forzar que las sesiones expiren antes
de las 5 horas, y 2) buscar la causa del por qué no se cierran
adecuadamente.

Muchas gracias.

--
Has recibido este mensaje porque estás suscrito al grupo "OpenBSD México" de Grupos de Google.
Para publicar una entrada en este grupo, envía un correo electrónico a [hidden email].
Para anular tu suscripción a este grupo, envía un correo electrónico a [hidden email]
Para tener acceso a más opciones, visita el grupo en http://groups.google.com/group/openbsd-mexico?hl=es.

Loading...