たびたびお世話になります、もりもとです

DNSサーバにおいて、
ipfwで limit src-addr の設定をしているのですが、
そのため動的ルールが限界いっぱいまで出来ておりまして、

おそらくそのせいだと思うのですが、CPU負荷も妙に上がるし、
ipfwに新しくルールを書き足しても無視されたり、
limit src-addrで設定した制限以下でも、突然パケットが通らなくなってしまったり
・・・
という現象が起きております。。

そこで、動的ルールの最大数を減らせばいいのでは、と思いつき、

 net.inet.ip.fw.dyn_max=8192

となっていたので、少し減らしてみたところ、

 net.inet.ip.fw.dyn_max=100 (極端!?)

DNSのUDP/53のパケットがほとんどまったく通らなくなってしまいました。

net.inet.ip.fw.dyn_maxを減らすと、
なぜこのような現象になるのでしょうか?
かなりクエリの多いDNSサーバなのですが、
なにか良い、ipfwのチューニング方法などありましたら
ご教授くださいませ。。

- YAMANEKO / Mao
http://yamamaya.com/

メールによる返信