Unix|Linux | Tuifei.com

Archive for the 'Unix|Linux' Category

Mar 14 2009

Freebsd7.1 Iscsi Initiator 配置

1、加载Iscsi Initiator 模块
freebsd从7.0开始已经包含了Iscsi Initiator ，不需要安装后再使用，但在使用前，需要加载模块。
# kldload -v iscsi_initiator.ko
如果想以后开机后自动加载，则
#vi /boot/loader.conf
# Beginning of the iSCSI block added by david@09.03.13
iscsi_initiator_load=”YES”
2、查找iscsi存储
# iscontrol -v -d targetaddress=192.168.130.101 initiatorname=nxl
PS：192.168.130.101为存储IP，initiatorname可以省略，省略时默认为：iqn.2005-01.il.ac.huji.cs:
如果正常会显示类似信息：
TargetName=iqn.1984-05.com.dell:powervault.6001ec9000e7791b00000000489e9368
TargetAddress=192.168.130.101:3260,1
保证freebsd能ping 通存储。
Continue Reading »

Share This

No responses yet

Feb 11 2009

linux 下优化编译参数参考

Published by David under Unix|Linux

http://en.gentoo-wiki.com/wiki/Safe_Cflags
访问此地址可以查看详细信息。

Xeon w/EM64T (also Pentium 4 P6xx or Celeron M 5xx)
vendor_id : GenuineIntel
cpu family : 15
model : 4,6
model name : Intel(R) Xeon(R) CPU XXXXMHz
model name : Intel(R) Celeron(R) M CPU 5xx @ XXXGHz
32-bit profile (x86):

CHOST=”i686-pc-linux-gnu”
CFLAGS=”-march=prescott -O2 -pipe -fomit-frame-pointer”
CXXFLAGS=”${CFLAGS}”
64-bit profile (amd64):

CHOST=”x86_64-pc-linux-gnu”
CFLAGS=”-march=nocona -O2 -pipe -fomit-frame-pointer”
CXXFLAGS=”${CFLAGS}”

Share This

No responses yet

Feb 10 2009

解决TIME_WAIT过多问题

Published by David under Unix|Linux

#netstat -n | awk ‘/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}’

LAST_ACK 14
SYN_RECV 348
ESTABLISHED 70
FIN_WAIT1 229
FIN_WAIT2 30
CLOSING 33
TIME_WAIT 18122

状态：描述
CLOSED：无连接是活动的或正在进行
LISTEN：服务器在等待进入呼叫
SYN_RECV：一个连接请求已经到达，等待确认
SYN_SENT：应用已经开始，打开一个连接
ESTABLISHED：正常数据传输状态
FIN_WAIT1：应用说它已经完成
FIN_WAIT2：另一边已同意释放
ITMED_WAIT：等待所有分组死掉
CLOSING：两边同时尝试关闭
TIME_WAIT：另一边已初始化一个释放
LAST_ACK：等待所有分组死掉

也就是说，这条命令可以把当前系统的网络连接状态分类汇总。

下面解释一下为啥要这样写：

一个简单的管道符连接了netstat和awk命令。

——————————————————————

先来看看netstat：

netstat -n

Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 123.123.123.123:80 234.234.234.234:12345 TIME_WAIT

你实际执行这条命令的时候，可能会得到成千上万条类似上面的记录，不过我们就拿其中的一条就足够了。

——————————————————————

再来看看awk：

/^tcp/
滤出tcp开头的记录，屏蔽udp, socket等无关记录。

state[]
相当于定义了一个名叫state的数组

NF
表示记录的字段数，如上所示的记录，NF等于6

$NF
表示某个字段的值，如上所示的记录，$NF也就是$6，表示第6个字段的值，也就是TIME_WAIT

state[$NF]
表示数组元素的值，如上所示的记录，就是state[TIME_WAIT]状态的连接数

++state[$NF]
表示把某个数加一，如上所示的记录，就是把state[TIME_WAIT]状态的连接数加一

END
表示在最后阶段要执行的命令

for(key in state)
遍历数组

print key,”\t”,state[key]
打印数组的键和值，中间用\t制表符分割，美化一下。

如发现系统存在大量TIME_WAIT状态的连接，通过调整内核参数解决，
vim /etc/sysctl.conf
编辑文件，加入以下内容：
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_fin_timeout = 30
然后执行 /sbin/sysctl -p 让参数生效。

下面附上TIME_WAIT状态的意义：

客户端与服务器端建立TCP/IP连接后关闭SOCKET后，服务器端连接的端口
状态为TIME_WAIT

是不是所有执行主动关闭的socket都会进入TIME_WAIT状态呢？
有没有什么情况使主动关闭的socket直接进入CLOSED状态呢？

主动关闭的一方在发送最后一个 ack 后
就会进入 TIME_WAIT 状态停留2MSL（max segment lifetime）时间
这个是TCP/IP必不可少的，也就是“解决”不了的。

也就是TCP/IP设计者本来是这么设计的
主要有两个原因
1。防止上一次连接中的包，迷路后重新出现，影响新连接
（经过2MSL，上一次连接中所有的重复包都会消失）
2。可靠的关闭TCP连接
在主动关闭方发送的最后一个 ack(fin) ，有可能丢失，这时被动方会重新发
fin, 如果这时主动方处于 CLOSED 状态，就会响应 rst 而不是 ack。所以
主动方要处于 TIME_WAIT 状态，而不能是 CLOSED 。

TIME_WAIT 并不会占用很大资源的，除非受到攻击。

还有，如果一方 send 或 recv 超时，就会直接进入 CLOSED 状态

Share This

No responses yet

Sep 27 2008

linux sysctl.conf中相关重要设定的详细说明

Published by David under Unix|Linux

　　net.ipv4.tcp_syncookies = 1
表示开启SYN Cookies。当出现SYN等待队列溢出时，启用cookies来处理，可防范少量SYN攻击，默认为0，表示关闭；
　　net.ipv4.tcp_tw_reuse = 1
表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接，默认为0，表示关闭；
　　net.ipv4.tcp_tw_recycle = 1
表示开启TCP连接中TIME-WAIT sockets的快速回收，默认为0，表示关闭。
　　net.ipv4.tcp_fin_timeout = 30
表示如果套接字由本端要求关闭，这个参数决定了它保持在FIN-WAIT-2状态的时间。
　　net.ipv4.tcp_keepalive_time = 1200
表示当keepalive起用的时候，TCP发送keepalive消息的频度。缺省是2小时，改为20分钟。
　　net.ipv4.ip_local_port_range = 1024 ? ?65000
表示用于向外连接的端口范围。缺省情况下很小：32768到61000，改为1024到65000。
　　net.ipv4.tcp_max_syn_backlog = 8192
表示SYN队列的长度，默认为1024，加大队列长度为8192，可以容纳更多等待连接的网络连接数。
　　net.ipv4.tcp_max_tw_buckets = 5000
表示系统同时保持TIME_WAIT套接字的最大数量，如果超过这个数字，TIME_WAIT套接字将立刻被清除并打印警告信息。默认为180000，改为5000。对于Apache、Nginx等服务器，上几行的参数可以很好地减少TIME_WAIT套接字数量，但是对于Squid，效果却不大。此项参数可以控制TIME_WAIT套接字的最大数量，避免Squid服务器被大量的TIME_WAIT套接字拖死。

Share This

No responses yet

Jul 23 2008

sysctl.conf优化方案

Published by David under Unix|Linux

转至CU
###################
所有rfc相关的选项都是默认启用的，因此网上的那些还自己写rfc支持的都可以扔掉了:)
###############################

net.inet.ip.sourceroute=0
net.inet.ip.accept_sourceroute=0
#############################
通过源路由，攻击者可以尝试到达内部IP地址 –包括RFC1918中的地址，所以
不接受源路由信息包可以防止你的内部网络被探测。
#################################
Continue Reading »

Share This

No responses yet

最新文章
最新评论
- 现金游戏: 现金游戏(www.winpue.com) 多了一位朋友 ...
- Amateures Gone Wild: now I know it....
- Gua Talk Blog: Хм… Очень даже ничего...
- Blenrylal: This looks cool so far, what's up people? If the...
- Виталий: Беда, что вода, — нечаянно ...
- Геннадий Шишкин: Дискутировать на эту тему ...
订阅
- Posts RSS
- Comments RSS
搜索
链接|Links
广告赞助

页面
归档
- 2010年02月 (1)
- 2009年08月 (1)
- 2009年04月 (1)
- 2009年03月 (2)
- 2009年02月 (5)
- 2009年01月 (1)
- 2008年09月 (2)
- 2008年08月 (2)
- 2008年07月 (1)
- 2008年06月 (1)
- 2008年05月 (7)
- 2008年04月 (1)
- 2008年01月 (1)
- 2007年11月 (3)
- 2007年09月 (1)
- 2007年08月 (2)
- 2007年07月 (11)
- 2007年06月 (2)
- 2007年04月 (34)
- 2007年03月 (6)
- 2007年02月 (7)
- 2006年12月 (3)
- 2006年11月 (2)
- 2006年10月 (2)
- 2006年09月 (45)
- 2006年08月 (16)
- 2006年07月 (20)
- 2006年06月 (10)
- 2006年05月 (5)
- 2006年04月 (13)
- 2006年03月 (10)
- 2006年02月 (4)
- 2005年12月 (4)
- 2005年11月 (7)
- 2005年10月 (5)
- 2005年09月 (6)
- 2005年08月 (19)
- 2005年07月 (27)
- 2005年06月 (14)
- 2005年05月 (8)
- 2005年04月 (2)
- 2005年03月 (2)
- 2005年02月 (2)
- 2005年01月 (2)
分类
- 生活|Life (20)
- 网络|Network (37)
- Unix|Linux (127)
- 应用|Application (97)
- 数据库管理|DBA (39)

Tuifei.com

颓废?

Archive for the 'Unix|Linux' Category

Freebsd7.1 Iscsi Initiator 配置

linux 下优化编译参数参考

解决TIME_WAIT过多问题

linux sysctl.conf中相关重要设定的详细说明

sysctl.conf优化方案

最新文章

最新评论

订阅

搜索

链接|Links

广告赞助

页面

归档

分类