能上q打开网页不稳定问题讨论求助贴,我会把跟进的结果贴出来供大家参考

chenyong1133 · 发表于 2009-5-8 11:38:15

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有账号？注册

×

本帖最后由 chenyong1133 于 2009-5-8 11:57 编辑

小弟我管理着一栋楼房的网络,用的是ros 2.9.27的.3M只接了23家左右的用户在,全部是用pppoe上网,在高峰期也不过是15个人左右在线,防火墙里面加了限制每台电脑tcp连接数最大为20的限制.每个ip也加了限速.
现在问题就是一到高峰期所有的电脑就是能上q但是网页就是一下点了可以打开一下点了又提示无法打开,直接ping打不开的域名就都正常而且也没有发现丢包.
查看ROS防火墙配置里面大概有400条这样的连接

(我的理解是一个ip连接到我的外网ip,连接类型为tcp,连接状态是关闭,关闭时间是9个小时,我个人估计是这400条连接存活时间太长造成的连接数不够用所以网页打开不稳定)小弟我也是初学对这400条连接理解不是很清楚不知有没人帮忙解答下另外求下修改方法.

chenyong1133 · 发表于 2009-5-8 11:49:43

刚才看到好像是有人跟我相同问题的一帖，说是在防火墙MANGLE里面加条规则修改MSS，我改了下，晚上高峰的时候再上来贴效果。

chenyong1133 · 发表于 2009-5-8 12:25:57

晕！怎么没有人帮我解答一下。自己先顶一下！

WGHBOY · 发表于 2009-5-8 12:50:44

估计没人回答了,你想钱想疯了,再拉多几十个可能就能搞定了,又要限这限那,又要快,赚了钱请哥们去喝茶就有人帮你了

chenyong1133 · 发表于 2009-5-8 13:21:42

呵呵，楼上这位兄弟大家出来不都是为了赚钱的嘛！况且我在这里只是把技术拿出来给大家讨论以便大家以后如果遇到相同的问题都可以互相借鉴而已。我自我感觉用户数没到200更本涉及不到ros的核心技术。更不谈什么赚钱的问题了！

tpy372 · 发表于 2009-5-8 14:57:52

增加带宽即可

chenyong1133 · 发表于 2009-5-8 17:48:28

呵呵，楼上我不是说过了吗!ping 域名是没问题而且不会超时得太严重大概在500ms左右。其实虽然高峰期有十几个人在线但不是每个人都在他限定带宽内用到100％，有些人只是上q聊下天罢了。所以带宽的说法应该是不正确的。

47771885 · 发表于 2009-5-8 19:18:43

你这问题早几百年可能新鲜

chenyong1133 · 发表于 2009-5-8 20:26:52

本帖最后由 chenyong1133 于 2009-5-8 20:30 编辑

呵呵，斑竹可能觉得这种问题不算什么问题，但我用搜索也没看到以前论坛里面相关的帖子没有一个彻底的解决方法及原因。对于我们新手特别是对tcp/ip协议的理解不是那么深的时候这样的问题确实要困扰我们很长时间。如果不麻烦的话请帮我解释下下图中12个参数中的时间的意义。晚上修改了ip－firewall－connections－tracking里面的时间才把问题初步解决，（其实里面的时间都是一对着网页不停的打开不停的修改才完成的，里面有些参数我也不是很了解，比如 TCP SYN SENT TIMEOUT 好像改高了又怕内网的攻击，改低了网络如果超时严重的话就是直接显示打不开网页。真晕）至于修改mss,好像针对的是部分固定打不开的网页的问题。不多说了，上图！

chenyong1133 · 发表于 2009-5-9 10:47:46

看来没有人遇到跟我相同的问题，还是大家都已经解决了。我改了tracking里面的时间大概2个小时左右网页又断流了。

正在google上面找解决方法中！！！！！

47771885 · 发表于 2009-5-10 00:14:11

我想可能的话你想用你这3M 带动全世界不卡是吗？有这解决方法有这能解决的人真是牛 B 了

木木 · 发表于 2009-5-10 00:43:34

连接数限制来做什么，打开一个网页链接数都超过几十了，你才限制20，打得开才奇怪。

laoQ · 发表于 2009-5-11 09:10:34

楼主，把fierwall里connections中TCP State状态为close的连接定时清除试试看，定时时间自己测试，网上有类似脚本，

chenyong1133 · 发表于 2009-5-11 09:55:33

本帖最后由 chenyong1133 于 2009-5-11 09:56 编辑

已经找到解决方法了。2天了没有人反应有任何问题。呵呵！但是我是修改了3个地方，也不知道是那个地方的问题.
1.本来我的fierwall里面有个病毒链表的，可能是一个连接在fierwall里面跳转次数太多所以超时，所以我把一些基本的保留把大部分都禁用了。
2.我用的是ip伪装，看网上的说法在nat里面有个调节连接数的地方，不过我没调，呵呵。不过大家可以试一下
ip firewall nat>
chain=srcnat src-address=192.168.20.0/24 protocol=tcp connection-limit=3000,32 action=masquerade
直接好像不能导入进去，大家可以在winbox里面改，就是connection-limit=3000 默认是100，大家可
以先稍微改大点试一下。
3.还是tracking里面的时间表，其他基本上没变，就是把tcp close的时间改成0－3之间，呵呵，效果明显。以前高峰期那几百条close的连接都没有了。最多100条左右，而且也没有人投诉了。

至于tracking里面的时间表所有参数的意义，本来我是想问下斑竹的，结果斑竹大人估计也没当回事，认为
我们这些新人都是瞎折腾有点瞧不起我们这些问题。稍后我会请教我在华强那边做网络产品的朋友，不过实在也比较忙。如果大家都知道那就算了，如果也有新人像我一样也不懂的我会把结果贴出来给大家以后参考，大家以后也不用一边开网页一边调了。呵呵

tpy372 · 发表于 2009-5-11 11:54:12

相信那个所谓官方sb防火墙的结果

账号		自动登录	找回密码
密码			注册

[其它] 能上q打开网页不稳定问题讨论求助贴,我会把跟进的结果贴出来供大家参考

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。