Limiting closed port RST response from 3411 to 186 packets/sec

jmt

jmt

Well-Known Member
Hallo,

seitdem ich mein Heimnetzwerk von 1GBit auf 2.5GBit beschleunigt habe, werde ich mit obiger Kernel-Meldung genervt. Habt Ihr das auch. Im Internet habe ich nur gefunden, dass man es ignorieren kann. Es nervt aber allein schon dadurch, dass es meine Log-Mails voll schreibt. Kennt Ihr vielleicht doch ein Mittel dagegen? Oder verschwindet das mit FreeBSD 15?

Grüße Markus
 
Das bedeutet ja im Prinzip, das von außen in kurzer Zeit sehr viele Pakete auf geschlossene Ports ankommen (worauf das System natürlich reagiert). Und dann auch mitteilt, wenn es da mal als Überlastschutz einen slow-down macht.

Man kann natürlich das Verhalten von FreeBSD einfach ändern und durch Anpassung des sysctl net.inet.tcp.blackhole bzw. net.inet.udp.blackhole verhindern, das überhaupt RST-Pakete zurück geschickt werden oder man schaltet einen Paketfilter davor, der Packages auf geschlossene Server droppt.

Möglicherweise ist es ja zielführender, wenn man erst mal schaut, woher die eingehenden Pakete kommen.

Oder mehr oder weniger Dummy-Methode: Man greppt beim anschauen der Log-Datei solche Messages einfach weg. :-)
 
Die Dummy-Methode geht nicht, da es sich um dmesg handelt und diese werden mir ja gemailt. Ich sehe in den Mails aber kaum noch etwas anderes. :ugly:
 
Ich habe jetzt mal die blackhole sysctls gesetzt. Hoffentlich ist das "Problem" damit gelöst.
 
Ja, das geht immer, aber es sind halt die System-Mails. Da möchte ich ungerne dran rumfummeln. Und dmesg wird auch zugemüllt.
 
Andy_m4 schrieb:
Das bedeutet ja im Prinzip, das von außen in kurzer Zeit sehr viele Pakete auf geschlossene Ports ankommen (worauf das System natürlich reagiert). Und dann auch mitteilt, wenn es da mal als Überlastschutz einen slow-down macht.

Man kann natürlich das Verhalten von FreeBSD einfach ändern und durch Anpassung des sysctl net.inet.tcp.blackhole bzw. net.inet.udp.blackhole verhindern, das überhaupt RST-Pakete zurück geschickt werden oder man schaltet einen Paketfilter davor, der Packages auf geschlossene Server droppt.

Möglicherweise ist es ja zielführender, wenn man erst mal schaut, woher die eingehenden Pakete kommen.

Oder mehr oder weniger Dummy-Methode: Man greppt beim anschauen der Log-Datei solche Messages einfach weg. :-)
Zum Vergrößern anklicken....
Danke, der Tipp mit blackhole hat gewirkt. Allerdings bedurfte es der local-Variante: net.inet.tcp.blackhole_local und net.inet.udp.blackhole_local.
 
Leider hat blackhole_local auch nicht geholfen. Wie finde ich denn heraus, wo die Pakete her kommen. Der Kernel sagt mir das ja leider nicht.
 
Mit tcpdump kannst Du auch den passenden Filter benutzen. Z. B.:
Code: 
tcpdump -c 100 -vvveni <Interface> 'tcp[tcpflags] & (tcp-rst) != 0'
(Interface anpassen und ohne spitze Klammern.)
BTW: Ob der Filter funktioniert, kannst Du mit z. B. nping (... aus dem W/LAN des Routers) testen:
Code: 
nping -c 3 --tcp --flags rst -g 12345 -p 444 <IP-Adresse-Interface>
(IP-Adresse-Interface anpassen und ohne spitze Klammern.)
 
Danke für die Hilfe. (tcpdump war mir schon klar, aber ich kenne nur die "einfachen" Filter :rolleyes:) Es stellt sich heraus, dass das iPhone meines Sohnes nicht mit dovecot arbeiten will. Ich erhalte folgende Fehlermeldung:
Code: 
dovecot: imap-login: Disconnected: Connection closed: SSL_accept() failed: error:1403F416:SSL routines:ACCEPT_SR_FINISHED:sslv3 alert certificate unknown: SSL alert number 46
Eine Antwort auf diese kryptischer Fehlermeldung ist, dass man das Fullchain Cert verwenden soll. Das mache ich aber schon und mein iPhone verbindet sich mit meinem dovecot ohne Probleme. :confused: Ich bleibe dran.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben