Linux: боремся с утечкой памяти

Ioann — Mon, 22 Feb 2010 13:41:45 +0000

Linux как и все операционные системы использует кеширование операций чтения записи с жесткого диска. Несмотря на то что все об этом знают многие удивляются куда же далась оперативная память? Запущено пару программ, последний фильм скачан давно, но памяти все меньше и меньше. Дело в том, что операционная система не очищает кеш

[ad#ad-2]
И сегодня мы расскажем как принудительно очистить кеш чтения записи. В большинстве Linux OS это делается выполнением команды в привилегированном режиме:

sync
 echo "3" > /proc/sys/vm/drop_caches

Например

$top
top - 15:23:04 up 11 days,  4:56,  4 users,  load average: 0.15, 0.03, 0.01
Tasks: 207 total,   2 running, 205 sleeping,   0 stopped,   0 zombie
Cpu(s):  0.9%us,  0.4%sy,  0.0%ni, 98.6%id,  0.1%wa,  0.0%hi,  0.0%si,  0.0%st
Mem:   1018124k total,  1002956k used,    15168k free,    13104k buffers
Swap:  3028212k total,   102512k used,  2925700k free,   460044k cached
 
$ 
$sync
$ echo "3" > /proc/sys/vm/drop_caches
$top
top - 15:24:47 up 11 days,  4:58,  4 users,  load average: 0.03, 0.02, 0.00
Tasks: 208 total,   3 running, 205 sleeping,   0 stopped,   0 zombie
Cpu(s):  0.9%us,  0.4%sy,  0.0%ni, 98.6%id,  0.1%wa,  0.0%hi,  0.0%si,  0.0%st
Mem:   1018124k total,   658788k used,   359336k free,      348k buffers
Swap:  3028212k total,   102512k used,  2925700k free,   130392k cached

В нашем примере мы дополнительно освободили 300 Мбайт оперативной памяти

Linux: IpTables ограничиваем количество соединений с одного ip

Ioann — Mon, 08 Feb 2010 13:33:35 +0000

Очень часто мы сталкиваемся с необходимостью ограничить количество соединений с одного хоста. Эта задача актуальна для администраторов, которые не хотят получить переполнение стека tcp/ip из-за пользователя который решил включить торрент клиент и забыл выключить DHT.

[ad#ad-2]
IpTables синтаксис команды ограничения соединений:

/sbin/iptables -A INPUT -p tcp --syn --dport $port -m connlimit --connlimit-above N -j REJECT --reject-with tcp-reset
# save the changes see iptables-save man page, the following is redhat and friends specific command
service iptables save

Пример ограничения количества соединений на порт ssh с одного ip исспользуя IpTables

/sbin/iptables  -p tcp --syn --dport 22 -m connlimit --connlimit-above 3 -j REJECT
# save the changes see iptables-save man page, the following is redhat and friends specific command
service iptables save

Пример ограничения количества соединений на порт http с одного ip исспользуя IpTables

/sbin/iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 -j REJECT --reject-with tcp-reset
# save the changes see iptables-save man page, the following is redhat and friends specific command
service iptables save

Пример ограничения количества соединений на порт http с с одной сети исспользуя IpTables

/sbin/iptables  -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 24 -j REJECT --reject-with tcp-reset
# save the changes see iptables-save man page
service iptables save

Пример ограничения количества соединений на порт http с одного ip если он отсылает более 10 пакетов в 100 секунд исспользуя IpTables

#!/bin/bash
IPT=/sbin/iptables
# Max connection in seconds
SECONDS=100
# Max connections per IP
BLOCKCOUNT=10
# ....
# ..
# default action can be DROP or REJECT
DACTION="DROP"
$IPT -A INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --set
$IPT -A INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --update --seconds ${SECONDS} --hitcount ${BLOCKCOUNT} -j ${DACTION}
# ....
# ..

Пример проверки работоспособности указанных правил IpTables

#!/bin/bash
ip="10.10.10.10"
port="80"
for i in {1..100}
do
  # коннектимся, ничего не делаем  и выходим :) 
  echo "exit" | nc ${ip} ${port};
done

Около сетевой Блог » DROP

Linux: боремся с утечкой памяти

Linux: IpTables ограничиваем количество соединений с одного ip