J'essaie de régler les performances de Snort sur un routeur basé sur Debian. Je voyais des trucs comme:
snort packet recv contents failure: No buffer space available
J'ai donc augmenté les tampons à 8M et quand cela n'a pas fonctionné, j'ai essayé 16M, selon le guide de réglage à http://fasterdata.es.net/fasterdata/Host-tuning/linux/ :
#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.
# Increase TCP Buffers to 16 MB
sysctl -w net.core.rmem_default='16777216'
sysctl -w net.core.wmem_default='16777216'
sysctl -w net.core.rmem_max='16777216'
sysctl -w net.core.wmem_max='16777216'
sysctl -w net.ipv4.tcp_wmem='1048576 4194304 16777216'
sysctl -w net.ipv4.tcp_rmem='1048576 4194304 16777216'
sysctl -w net.core.netdev_max_backlog='30000'
exit 0
Maintenant, je ne vois pas l'entrée de journal "pas d'espace tampon", mais j'en ai une nouvelle:
net_ratelimit: 44 callbacks suppressed
Les seuls autres messages de la même période sont ces martiens, c'est peut-être ce qui est supprimé?
Jun 4 07:09:36 ilium ntpd_intres[3575]: Host name not found: 0.us.pool.ntp.org
Jun 4 14:17:36 ilium kernel: [25743.259951] net_ratelimit: 44 callbacks suppressed
Jun 4 14:17:36 ilium kernel: [25743.259955] martian source 216.59.11.21 from 127.0.0.1, on dev eth0
Jun 4 14:17:36 ilium kernel: [25743.259956] ll header: 00:30:48:7c:f8:10:00:24:c4:49:8d:00:08:00
Jun 4 14:17:58 ilium kernel: [25765.055449] martian source 216.59.11.21 from 127.0.0.1, on dev eth0
Jun 4 14:17:58 ilium kernel: [25765.055451] ll header: 00:30:48:7c:f8:10:00:24:c4:49:8d:00:08:00
Jun 4 14:18:43 ilium kernel: [25809.998978] martian source 216.59.11.21 from 127.0.0.1, on dev eth0
Jun 4 14:18:43 ilium kernel: [25809.998980] ll header: 00:30:48:7c:f8:10:00:24:c4:49:8d:00:08:00
Jun 4 14:24:11 ilium kernel: [26138.700143] martian source 216.59.11.71 from 127.0.0.1, on dev eth0
Jun 4 14:24:11 ilium kernel: [26138.700145] ll header: 00:30:48:7c:f8:10:00:24:c4:49:8d:00:08:00
Jun 4 14:28:42 ilium kernel: [26409.130701] martian source 216.59.11.71 from 127.0.0.1, on dev eth0
Jun 4 14:28:42 ilium kernel: [26409.130703] ll header: 00:30:48:7c:f8:10:00:24:c4:49:8d:00:08:00
'net_ratelimit()
' est utilisé pour limiter les messages syslog du noyau.
Ce message "rappels supprimés" implique qu'il a supprimé un grand nombre de 44 messages syslog.
Ceci est une tentative pour éviter de charger votre chemin de journalisation Syslog.
Voici la référence de la source si vous êtes intéressé,
FreeBSD/Linux Kernel Cross Reference; sys/net/core/utils.c ,
Il appelle sys/lib/ratelimit.c - ___ratelimit()
Vous voudrez peut-être enquêter sur votre " source martienne ",
mais si vous l'ignorez je suppose, le ratelimit gèrera les logs
(c'est généralement une bonne idée de corriger les sources de journal inconnues).
Dans votre cas, il apparaît comme vos Martian Packets are,
Un paquet entrant ou sortant dont source ou adresse de destination est dans la plage 127.0.0.0/8, qui est réservé pour le bouclage au sein de l'hôte.