[gull] [Resolu] ksoftirqd congestionne a ~500Ko/s (Ubuntu 22.04)

Frederic Dumas f.dumas at ellis.siteparc.fr
Sat Sep 28 15:52:20 CEST 2024 

Tu as vu juste du premier coup Marc, avec iptables.
Mille mercis.


> # iptables -n --list --line-numbers | sed '/^num\|^$\|^Chain/d' | wc -l
> 71045


Avec un bantime à -1 sur fail2ban, le magasin se rempli vite.


> # fail2ban-client status apache-auth | head -n8
> Status for the jail: apache-auth
> |- Filter
> |  |- Currently failed: 4
> |  |- Total failed: 436
> |  `- File list: /var/log/apache2/transmission_error.log /var/log/apache2/error.log
> `- Actions
>    |- Currently banned: 576
>    |- Total banned: 576


> # fail2ban-client status sshd | head -n8
> Status for the jail: sshd
> |- Filter
> |  |- Currently failed: 5
> |  |- Total failed: 37918
> |  `- File list: /var/log/auth.log
> `- Actions
>    |- Currently banned: 70468
>    |- Total banned: 70468


576 + 70468 = 71044

CQFD.


Il faut maintenant purger les 70K+ drops d'iptable, peut-être exporter les IP de fail2ban. Une fois le package ipset ajouté au système, où se fait la configuration manuelle pour dire à fail2ban de l'utiliser, plutôt que de continuer à écrire des règles iptable ?


--
Frédéric Dumas
f.dumas at ellis.siteparc.fr


> Le 28 sept. 2024 à 14:18, Marc SCHAEFER via gull <gull at forum.linux-gull.ch> a écrit :
> 
> Hello,
> 
> On Sat, Sep 28, 2024 at 01:06:43PM +0200, Frederic Dumas via gull wrote:
>> un petit casse tête sur Ubuntu, puisque c'est le week-end. Ce tout petit serveur s'étrangle dès qu'on tire dessus en sftp à peine quelques Mb/s. ksoftirqd vient faire la police, et le débit moyen plafonne à ~500Ko/s (~5Mb/s), alors que de l'autre coté, le client sftp est sur un accès GPON.
> 
> J'ai plusieurs idées (*), mais que dit nestat -i ?
> 
>> Ça parait personnalisé par l'hébergeur dans l'image Ubuntu installée
>> sur ses serveurs.
> 
> Peut-être lui demander pourquoi?
> 
> 
> (*) - trop de règles iptables: en remplaçant par ipset j'ai
>      obtenu de sacré gains de performance sur des systèmes
>      peu performants (ok, ça commence à se voir dès 20'000
>      entrées, j'en ai > 200'000) -- c'était exactement
>      ksoftirqd qui saturait (très visible avec top, peu
>      avec htop sans config)
>    - TCP/TSO non activé: une interruption par paquet y.c
>      confirmations
>    - sshd monothread
>    - pertes de paquets

More information about the gull mailing list