Лимиты  PF

                                                                                    Опция limit устанавливает размер пула памяти используемого PF для таблицы состояний и таблицы адресов.  Это  тяжелые  пределы,  так  вам  может  понадобиться  повысить  или настроить  значения  по  различным  причинам.   Если  ваша  сеть  занята  с  большим количеством,  чем  значения  по   умолчанию  позволяют,  или  если  ваши  настройки нуждаются в большей  таблице адресов или большем количестве таблиц, чем в этом разделе это будет очень актуально для вас.

Помните что общее количество памяти доступное через пул памяти берется из адресного пространства ядра, и общая доступность это функция общей  доступности памяти ядра.

Ядро выделяет определенное количество памяти для собственного  использования при

запуске системы. Однако, так как память ядра никогда не изменяется, количество памяти выделенной для ядра никогда не может равняться или превышать всю физическую память в системе. (если это случилось, то не будет пространства для запуска пользовательского режима программы.)

Количество доступной памяти в пуле зависит от использования некоторых  аппаратных платформ, которые вы используете, а также на ряд трудно предсказываемых переменных характерных для локальной системы. На архитектуре i386 максимальный размер памяти ядра от 768Мб до 1Гб, в  зависимости от ряда факторов, включая количество и тип устройств в системе. Количество фактически доступного для распределения пулам памяти выходит из этого количества, опять же в зависимости от числа системно-ориентированных переменных.

Для просмотра текущих настроек limit используйте pfctl –sm. Обычно вывод  выглядит так:

$ sudo pfctl -sm

states       hard limit    10000 src-nodes     hard limit   10000

table-entries hard limit  200000

Изменить эти значения, отредактируйте pf.conf включая одну или более строк с новыми значениями  limit.  Например,  вы  могли  бы  использовать   следующие   строки,  чтобы повысить жестко лимиты для количества состояний до 25000 и записей таблиц до 300000:

set limit states 25000

set limit table-entries 300000

Вы можете также установить несколько парметров limit в то же время в одной строке, заключив их в квадратные скобки, например:

set limit { states 25000, src-nodes 25000, table-entries 300000 }

В конце концов, вы почти наверняка не должны изменять лимиты для всех. Если  вы это сделаете, тем не менее, важно, посмотреть логии системы на предмет любых признаков того, что ваши изменения лимитов не  имели  нежелательные побочные эффекты или вписываются в доступную память. Установка уровня отладки в более высокое значение потенциально весьма полезно для просмотра эффектов параметров настройки предела.

Источник: Книга о PF, by Peter N.M. Hansteen, Перевод выполнил Михайлов Алексей aka iboxjo

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий