Re: настройка редиректора

19.11.2008 14:23, Sergey Shepelev wrote:
> 
> 
> 2008/11/19 Alex Vorona <voron@... <mailto:voron@...>>
> 
>     19.11.2008 12:40, Sergey Shepelev wrote:
> 
>         Здравствуйте.
> 
>         Компания - регистратор доменов предоставляет
услугу HTTP
>         redirect с юзерского домена на какой угодно адрес.
>         Эту услугу обслуживает nginx на одном адресе, на одной машине.
> 
>     разнести на несколько IP может быть полезным,
например чтобы иметь
>     на каждом свой backlog
> 
> 
> Спасибо.
>  
> 
> 
> 
>         Клиентов часто ДДоСят, поэтому редиректор тоже под большой
>         нагрузкой из-за этого.
> 
> 
>     таймауты tcp, лимиты на сокеты и тп.
> 
> 
> Совсем забыл упомянуть, ОС Linux, ядро 2.6.18. <http://2.6.18.>
> 
> К сожалению, ранее не имел дела с тюнингом системных переменных.
> Поправьте список, пожалуйста,
> 
> net.ipv4.tcp_orphan_retries 4 # дефолтный был 7
> net.ipv4.tcp_fin_timeout 10 # дефолтный был 30
> net.ipv4.tcp_max_tw_buckets 60К # дефолтный был 180К, пишут, что этот 
> параметр для защиты от простых ДоС
> net.ipv4.tcp_max_orphans 8192  # пишут, что этот параметр для защиты
от 
> простых ДоС и каждый орфан жрет 64к памяти
> net.ipv4.tcp_rmem 1K (default) (default) # то есть min я поставлю 1К, а 
> default и max оставлю как есть
> net.ipv4.somaxconn 4K # если я правильно понимаю, это позволит
выставить 
> listen backlog=4K
да, только net.core.somaxconn

можно включить ещё для борьбы с TIME_WAIT
net.ipv4.tcp_tw_reuse
net.ipv4.tcp_tw_recycle

для того чтобы не было видно uptime по сети, можно выключить
net.ipv4.tcp_timestamps

Если используется statefull фаервол, то неплохо или
выключить conntrack для 80-го порта(-t raw -J 
NOTRACK) или увеличить net.ipv4.ip_conntrack_max

ну и в nginx  reset_timedout_connection on;