Que signifie «net_ratelimit: 44 rappels supprimés» sur un Linux?

19

J'essaie de régler les performances de Snort sur un routeur basé sur Debian. Je voyais des trucs comme:

snort packet recv contents failure: No buffer space available

J'ai donc augmenté les tampons à 8M et quand cela n'a pas fonctionné, j'ai essayé 16M, selon le guide de réglage à http://fasterdata.es.net/fasterdata/host-tuning/linux/ :

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.
# Increase TCP Buffers to 16 MB
sysctl -w net.core.rmem_default='16777216'
sysctl -w net.core.wmem_default='16777216'
sysctl -w net.core.rmem_max='16777216'
sysctl -w net.core.wmem_max='16777216'
sysctl -w net.ipv4.tcp_wmem='1048576 4194304 16777216'
sysctl -w net.ipv4.tcp_rmem='1048576 4194304 16777216'
sysctl -w net.core.netdev_max_backlog='30000'
exit 0

Maintenant, je ne vois pas l'entrée de journal "pas d'espace tampon", mais j'en ai une nouvelle:

net_ratelimit: 44 callbacks suppressed

Les seuls autres messages de la même période sont ces martiens, c'est peut-être ce qui est supprimé?

Jun  4 07:09:36 ilium ntpd_intres[3575]: host name not found: 0.us.pool.ntp.org
Jun  4 14:17:36 ilium kernel: [25743.259951] net_ratelimit: 44 callbacks suppressed
Jun  4 14:17:36 ilium kernel: [25743.259955] martian source 216.59.11.21 from 127.0.0.1, on dev eth0
Jun  4 14:17:36 ilium kernel: [25743.259956] ll header: 00:30:48:7c:f8:10:00:24:c4:49:8d:00:08:00
Jun  4 14:17:58 ilium kernel: [25765.055449] martian source 216.59.11.21 from 127.0.0.1, on dev eth0
Jun  4 14:17:58 ilium kernel: [25765.055451] ll header: 00:30:48:7c:f8:10:00:24:c4:49:8d:00:08:00
Jun  4 14:18:43 ilium kernel: [25809.998978] martian source 216.59.11.21 from 127.0.0.1, on dev eth0
Jun  4 14:18:43 ilium kernel: [25809.998980] ll header: 00:30:48:7c:f8:10:00:24:c4:49:8d:00:08:00
Jun  4 14:24:11 ilium kernel: [26138.700143] martian source 216.59.11.71 from 127.0.0.1, on dev eth0
Jun  4 14:24:11 ilium kernel: [26138.700145] ll header: 00:30:48:7c:f8:10:00:24:c4:49:8d:00:08:00
Jun  4 14:28:42 ilium kernel: [26409.130701] martian source 216.59.11.71 from 127.0.0.1, on dev eth0
Jun  4 14:28:42 ilium kernel: [26409.130703] ll header: 00:30:48:7c:f8:10:00:24:c4:49:8d:00:08:00
linux tcp linux-networking Antonius Bloch
la source

Réponses:

20

' net_ratelimit()' est utilisé pour limiter les messages syslog du noyau.
Ce message "rappels supprimés" implique qu'il a supprimé une grande partie de 44 messages syslog.
Il s'agit d'une tentative pour éviter de charger votre chemin de journalisation syslog.

Voici la référence source si vous êtes intéressé,
FreeBSD / Linux Kernel Cross Reference; sys / net / core / utils.c ,
il appelle sys / lib / ratelimit.c -___ratelimit()

Vous voudrez peut-être enquêter sur votre " source martienne ",
mais si vous l'ignorez, je suppose que le ratelimit gérera les journaux
(c'est généralement une bonne idée de corriger les sources de journaux inconnues).

Dans votre cas, il semble que vos paquets martiens soient,

Un paquet entrant ou sortant dont l' adresse source ou de destination est dans la plage 127.0.0.0/8, qui est réservé pour le bouclage au sein de l'hôte.

nik
la source
1
c'est aussi une bonne lecture: zszsit.blogspot.com.br/2012/10/… un bon dépannage de__ratelimit: # callbacks supressed
Marcel