首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
广告
NonClockworkChen
V2EX  ›  问与答

公司 openwrt 路由器里活动连接有 2 万 6 千多条,但是看网络监控就 3 千多条连接

  •   
  •   NonClockworkChen · 14 天前 · 936 次点击
    求助怎么能排查多出来的活动连接是什么造成的?(机器重启了 1 小时 20 分钟,就这么庞大的连接数了,之前直接干到 100%6 万多条了)



    4 条回复    2024-04-16 20:27:17 +08:00
    datocp
        1
    datocp  
       14 天前 via Android
    可以修改/etc/sysctl.d ,参考一下 timeout 设定,这些控制连接何时消亡,太大连接一直在,太小影响网络稳定,要设得刚刚好

    # cat /proc/net/nf_conntrack|wc -l
    920

    /etc/sysctl.d# cat *.conf
    # Do not edit, changes to this file will be lost on upgrades
    # /etc/sysctl.conf can be used to customize sysctl settings

    kernel.panic=3
    kernel.core_pattern=/tmp/%e.%t.%p.%s.core
    fs.suid_dumpable=2

    fs.protected_hardlinks=1
    fs.protected_symlinks=1

    net.core.bpf_jit_enable=1

    net.ipv4.conf.default.arp_ignore=1
    net.ipv4.conf.all.arp_ignore=1
    net.ipv4.ip_forward=1
    net.ipv4.icmp_echo_ignore_broadcasts=1
    net.ipv4.icmp_ignore_bogus_error_responses=1
    net.ipv4.igmp_max_memberships=100
    net.ipv4.tcp_fin_timeout=30
    net.ipv4.tcp_keepalive_time=120
    net.ipv4.tcp_syncookies=1
    net.ipv4.tcp_timestamps=1
    net.ipv4.tcp_sack=1
    net.ipv4.tcp_dsack=1

    net.ipv6.conf.default.forwarding=0
    net.ipv6.conf.all.forwarding=0
    # Do not edit, changes to this file will be lost on upgrades
    # /etc/sysctl.conf can be used to customize sysctl settings

    net.netfilter.nf_conntrack_acct=1
    net.netfilter.nf_conntrack_checksum=0
    net.netfilter.nf_conntrack_max=16384
    net.netfilter.nf_conntrack_tcp_timeout_established=600
    net.netfilter.nf_conntrack_udp_timeout=65
    net.netfilter.nf_conntrack_udp_timeout_stream=120
    #dato add sysctl -w sysctl -p
    #sysctl net.core.somaxconn
    #sysctl -w net.core.somaxconn=2048
    net.ipv4.tcp_max_syn_backlog=2048
    #1/2/4/8/16s 2=1+2+4
    #net.ipv4.tcp_syn_retries = 1
    net.ipv4.tcp_synack_retries=2
    net.core.somaxconn=2048
    #/proc/sys/net/netfilter/nf_conntrack_*
    net.netfilter.nf_conntrack_generic_timeout=600
    net.netfilter.nf_conntrack_tcp_timeout_syn_sent=120
    net.netfilter.nf_conntrack_tcp_timeout_syn_recv=60
    net.netfilter.nf_conntrack_tcp_timeout_fin_wait=120
    net.netfilter.nf_conntrack_tcp_timeout_time_wait=120
    net.netfilter.nf_conntrack_tcp_timeout_close=10
    net.netfilter.nf_conntrack_tcp_timeout_close_wait=60
    net.netfilter.nf_conntrack_tcp_timeout_last_ack=30
    #
    net.ipv6.conf.all.disable_ipv6=1
    net.ipv6.conf.default.disable_ipv6=1
    net.ipv6.conf.lo.disable_ipv6=1
    opengps
        2
    opengps  
       14 天前
    如果是短链接的话,那可能取决于判断标准,比如我认为 5 分钟内的连接计入活跃连接,你认为 1 分钟的才叫活跃连接,这种情况没法严格对得上
    paranoiagu
        3
    paranoiagu  
       14 天前 via Android
    会不会是 udp ?
    flynaj
        4
    flynaj  
       13 天前 via Android
    netstat -ntu 查看本机连接,一般比较少。conntrack 命令查看 nat 连接。
    conntrack -L conntrack | awk '{print $5}' | cut -d "=" -f 2 | sort | uniq -c | sort -nr | head -n 10 排序看是哪个 IP 连接数多
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   2694 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 10:53 · PVG 18:53 · LAX 03:53 · JFK 06:53
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.