Мне пришлось выгрузить вообще. В линуксе обнаружилась беда с этим модулем, если он просто загружен то включается сборка ip фрагментов. И это никак не управляется. Весной и в начале лета когда школота сидела дома, они ддосили друг друга в том числе фрагментами UDP, во время такой атаки в линухе моментально переполняется буфер для сборки фрагментов и он перестаёт вообще собирать такой трафик. Я искал решение - его нет, кроме как выгрузить модуль nfconntrack и забанить его автоподгрузку.

Ну вот круто.

хм. учту.

Дошло до такого что наливали на даунлинка, тоже небольшой оператор, и я вижу трафик на входе, а на выходе в влане нет, я вообще изначально в шоке был как такое может быть. Потом снял семпл с атаки и увидел что там фрагменты со смещениями, а линух каждый помещал в буфер и ждал остальных частей. По умолчанию таймаут 30 сек. А буфер всего 2Мб.

Окста..спасиб что напомнил..вернусь из отпуска надо на паре серверов с бд вырубить..а то слоупочит на открытие таблиц и построении индексов..ла мелкий..а думает  феерично долго

Это намек что мне бгп пора с фряхи уводить? ;-)

+1

Бгп не знаю, тут бы жили дальше, просто глюки с натом начались, причем строго на определенные адреса. /16 порезаны на 4 части, каждая часть через свой внешник, так вот 3 части норм, 1 нет (не натится выходит с серым наружу). Причем строго на  подсети гугла и 1 или 2 айпишника. Ребутишь, через несколько суток/недель другой сегмент. Icmp норм, а tcp/udp фиг. Делал эксперимент с пустым насом - словил тоже, т.е. от нагрузки не зависело. Как будто что-то в пакетах ломало нат...

Хех.. лан пока до 12 обновлю и пусть живет.трафика порядка 4 гиг на вход..чуть больше

Я тут отрыл в заббиксе кусочек старых данных которые год назад были. Вот я походу тогда менял ядро, и нагрузка резко подскачила.

Не помните когда эти патчи воткнули в ядра?

Ну тады с вероятностью шпектр и кр

Ну если ла откатится назад - это просто необходимо будет отпраздновать.

Ога

А мне на тазик с мусклом вот это повесить по возвращению да

Щас в пробке под ростовом на пути в отпуск :)

За 700+км от дома и работы :-D

Та не, DL360p для биллинга, веб сервера хорошо и т.д. только, у него risen card только одна в nama0, толку от второго процессора не много, а вот DL380p уже с двумя слотами для risen rard в numa0 и numa1, он больше подходит для ваших целей

А кто объяснит почему безопасно
mitigations=off ?