Blog

nf_conntrack: table full, dropping packet. zabbix first network error, wait for 15 seconds. Erste Empfehlung – wenn keine FW auf der Maschine aktiv ist, auf connection tracking ganz verzichten und Modul entladen/blocken. Der Fehler selbst sagt Tabelle zu klein. Standardmäßig bei Debian jedenfalls sind 65536 Einträge möglich. Derzeitiger Wert: # cat /proc/sys/net/netfilter/nf_conntrack_count Maximal erlaubter Wert: cat /proc/sys/net/netfilter/nf_conntrack_max Passt man den Wert nf_conntrack_max an, muss man ebenso die hashsize anpassen: /sys/module/nf_conntrack/parameters/hashsize Über den Daumen gepeilt ist der Wert conntrack_max / 8 geteilt.   Es sei hier noch auf http://wiki.khnet.info/index.php/Conntrack_tuning verwiesen – Read more…

Die Fehlermeldung [ERROR] no dedicated links available! hatte bei mir den Grund, dass meine Version von libnfnetlink in Debian Squeeze zu alt war. bugs.debian.org/cgi-bin/bugreport.cgi?bug=684863 Für Debian wheezy gibt es bereits ein neueres Paket.    

HTTP ist zustandslos per Design. Ein HTTP GET und fertig. For Webanwendungen wie Webshop usw. ist jedoch nötig, den Benutzer während seines Aufenthalts fortlaufend zu intentifizieren. Hierzu nutzt man Cookies. Mit einem Loadbalancer möchte man für eine gewisse Zeit, für eine gewisse Session einen Benutzer zum selben Server leiten. Entweder weil sonst die Session neu aufgebaut werden muss oder weil es nicht peformant wäre, erneut auf einem Server Daten zu generieren (Session informationen usw.). Hierzu gibt es unterschiedliche Ansätze: LVS bietet nur die Möglichkeit einen Client für eine gewisse Zeit Read more…

Verwendet man ipvs im modus masq und full-nat, sieht der Realserver nur die nat-ip vom loadbalancer, da die Antwortpakete ja auch wieder dort ankommen sollen. Dies hat bei Webanwendungen den Nachteil, dass die Client-IP nicht mehr sichtbar ist. F5 kann mit der BIGIP bei HTTP-Verkehr die Funktion x-forwarded-for nutzen. http://lwn.net/Articles/395779/ LVS unterstützt dies bis dato nicht. Wird wohl auch nicht kommen, weil anderer Anspruch.

Heutiges Problem war, dass gesetzte DNAT/SNAT-Regeln in der nat-Table ohne Funktion blieben. Man sah auf den eingehenden Interfaces den Verkehr, ausgehend jedoch unverändert. Der Counter der nat-Table war auch unverändert. In der mangle-Tabelle sah man jedoch die Pakete. Laut iptables manpage passieren die Pakete die nat-Table nur, wenn nicht vorher durch conntrack eine Zuordnung hergestellt werden konnte. Auch nach Entfernen der Conntrack-Module hatte dies jedoch keine Änderung verursacht. Ein Neustart der Box hat abgeholfen.

3 Punkte haben die Geschwindigkeit fundamental verbessert bei meiner Mysql-Datenbank:   Datenbank-Engine von myisam auf innodb umstellen innodb_buffer_pool_size in my.cnf im Abschnitt [mysqld] auf 80% des vorhandenen Arbeitsspeichers setzen innodb_flush_log_at_trx_commit auf 2 setzen – bewirkt, dass Schreiboperationen erst mit einer Verzögerung von 1 Sekunde auf die Platte geschrieben werden