Quoting Alexey Markov <[email protected]>:
Hello, Oleg!
On June, 27 2013 at 16:13 you wrote to [email protected]:
??>> Есть некий веб-сервер под FreeBSD 8.3 на базе nginx и самописной
??>> CMS на Руби. В обычное время число соединений на нём выглядит
OVN> Эту самую CMS обучить работать через local socket
Зачем? С CMS устанавливается всего по одному соединению на каждый
инстанс Юникорна, их в общем объёме даже под лупой не видно.
??>> Собственно, вопрос такой: будет ли ipfw считать соединения в состоянии
??>> FIN_WAIT_1 как "всё ещё установленные", и тем самым можно ли
??>> ограничить их число через limit src-addr <N>? И стоит ли в этом случае
??>> увеличить
OVN> С Немалой долей вероятности это приведет к росту числа соединений в
OVN> состояниях FIN_WAIT_2 и TIME_WAIT
М-м-м... Каким образом это произойдёт, если файрвол просто не даст боту
_создавать_ новые соединения?
Или с той же вероятностью не давать нормально закрыть соединение.
Я бы не стал гарантированно утверждать, что время жизни динамического
правила firewall с точностью учитывает все аспекты жизни данного
конкретного соединения.
OVN> Достаточно большое количество соединений в TIME_WAIT как раз скорее
OVN> всего из-зв вмешательства firewall в процесс закрытия соединения.
Какое отношение файрвол имеет к TIME_WAIT? Насколько я помню, в этом
состоянии соединение просто ждёт "опоздавшие" пакеты в течение 2*MSL
миллисекунд, после чего переводит соединение в состояние CLOSED.
Насколько я понимаю, TIME_WAIT будет отсчитываться заново после
каждой неудачной попытки дождаться ACK на посланный FIN
--
WBR, Alexey Markov.
