如果你要QoS運作正常,且網路延遲正常,則把整體上限值設為66%。
即上傳2m 2m *1000 (不要算1024) *0.66 == 1212
other==
我建議的如下(譯註:參數和IP需要自行調整):
#Limit TCP connections per user / 對每個使用者的TCP連線數設限(譯註:參數和IP需要自行調整)
iptables -t nat -I PREROUTING -p tcp —syn -m iprange —src-range 192.168.1.50-192.168.1.250 -m connlimit —connlimit-above 150 -j DROP
#Limit all *other* connections per user including UDP / 對每個使用者的其它總連線數設限,其中包含UDP
iptables -t nat -I PREROUTING -p ! tcp -m iprange —src-range 192.168.1.50-192.168.1.250 -m connlimit —connlimit-above 100 -j DROP
#Limit outgoing SMTP simultaneous connections / 對SMTP的上傳連線數設限
iptables -t nat -I PREROUTING -p tcp —dport 25 -m connlimit —connlimit-above 5 -j DROP
下一個script是用來預防病毒快速的開啟上千的連線,吃掉我們的頻寬。我不喜歡這個東西,因為我已經做了很多的預防措施。請小心的使用它。
iptables -t nat -I PREROUTING -p udp -m limit —limit 20/s —limit-burst 30 -j ACCEPT
注意:如果你設定的限制是5,通常你會覺得它好像沒有作用。你會看到多於限制的連線數,通常是30-100。有一些連線,可能是逾時後等待處理的舊連線。請注意這些通常是TEREDO或是其它IPv6的相關連線 (Windows Vista和7),在內定上是開啟的,你可以經由下列指令關掉它:
netsh
interface
teredo
set state disabled
連接跟蹤(Conntrack)逾時設定
如果你的路由器變得不穩定,例如隨機性的卡住,或是重開機,則通常是因為連線太多造成的,它造成連接跟蹤表滿了,並且吃掉了路由器的記憶體。這通常是素行不良的應用程式造成的(通常是P2P用戶端),它會在短短幾秒內開啟上千的連線,而且大多是UDP。路由器通常不會將這些突然出現的大量連線記錄下來,因為這時它已經記憶體不足造成當機,根本來不及寫進log。
顯然的,Firmware中有缺陷,這種狀況不應該發生。在我們修正它之前,我們必需採取相對的傷害控制措施。設定TCP及UDP逾時時間是必要的。
設定太高的連線數會造成較糟的結果(比如8192),事實上這一個連線數通常是達不到。大多在連接跟蹤(conntrack)網頁內顯示的連線,都是舊有的,等待逾時時間到後要清除的連線。把限制設低一點,例如2000到3000,可以給路由器在當掉之前,有更多的呼吸空間。
(譯註:RT-N16號稱可30萬連線,這邊我設成40960都沒連問題,最高的一次連線曾達到9000多個,記憶體當時還相當足夠)
下列的設定已被認為可以避免某些情況下的連線風暴(connection storm),並且不會造成太多的影響:
TCP
None 100
Established 1200
Syn Sent 20
Syn Received 20
FIN Wait 20
Time Wait 20
Close 20
Close Wait 20
Last Ack 20
Listen 120
UDP
Unreplied 10 (對VOIP來說,25通常是需要的,不然就調成10)
Assured 10 (某些VOIP的使用者來說,可能要調到300來避免發生連線問題。用較低的數值會較穩定)。
Generic
10 (二邊皆是)
==
值得參考的網站
http://lunarforest.blogspot.tw/2011/05/tomato-tomatousbqosqos.html
沒有留言:
張貼留言