mmasuda です。
Yoshisato YANAGISAWA wrote: > 柳澤です。 > > YAMANEKO/Mao さんは書きました: >> たびたびお世話になります、もりもとです >> >> DNSサーバにおいて、 >> ipfwで limit src-addr の設定をしているのですが、 >> そのため動的ルールが限界いっぱいまで出来ておりまして、 > (snip) >> そこで、動的ルールの最大数を減らせばいいのでは、と思いつき、 > > 動的ルールの使用率が高いのに最大数を減らすのは良くないと思いますよ。 この状況では net.inet.ip.fw.dyn_buckets の値を増やした方が良いのでは? > DNSのqueryとreplyはかなり多いパケットを投げることになるので、 > keep-stateすると割とすぐにテーブルを使い果たします。 > > 未確認ですが、UDPは状態を持たないため、keep-stateした場合はDNSのreplyが > 来ても一定時間テーブルを保持すると思います。これがテーブルを使い果たす > 原因になっていると思います。ちなみに、昔ipfwを使っていた頃は自分も > 同じような経験をしたので、DNSだけはkeep-stateしなくても動くように > ルールを書いていました。外部に通信するDNSソースポートを固定し、 > そこに向かう外部からの通信を無条件で許可しました。 udp については net.inet.ip.fw.dyn_udp_lifetime の値で調整可能なはずです。 # default の値より減らした運用したことはないので何が起きるかは保証 # しません(っつーか減らしたらひどい目にあいそうな気がする)。 > この状況での解決策は必要最低限のものだけ動的ルールを使うように > することかと思います。 net.inet.ip.fw.dyn_buckets と net.inet.ip.fw.dyn_max の値両方を 増やしてもダメなら、静的ルールで逃げると言う手をしますかね、 私なら。 -- MASUDA Masashi <[メールアドレス保護]> <http://unixluser.org/> IRCNet: #nfl:*.jp <URL:http://unixluser.org/irc-nfl-japanese.html> 日本TOUGHBOOKユーザ会 <http://toughbook.jp/> 会員番号:1 J Sports は月曜夜のESPN Sports Center を昔の放送形態に戻して! < http://unixluser.org/misc/claim4espn_japan.html > パケットの気持ちになって考えよう。:-)
