Cory J's questions

问题

我为 20-50 个用户运行 IRC 服务器。我们有时会遇到消息没有及时到达或根本没有到达的问题。在一些数据包捕获之后，我们确定消息位于服务器的“Send-Q”中。当消息未到达时，我将查看“netstat -ct”输出并看到如下内容：

Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 1756 ubuntu:ircd 10.8.1.7:63602 ESTABLISHED

有时，如果我等待几分钟，Send-Q 将变为 0 并且消息将被传递，有时客户端超时。我的问题是，为什么它不只是传递消息？是什么让他们在 Send-Q 中坐了这么久？

sshd 也表现出类似的行为，我的 ssh 会话有时会冻结，有时会回来，有时会超时。

背景

不确定这里的基础设施是否与问题有关，所以看起来是这样的：这些客户端在 Windows 7 上，并与 OpenVPN 连接。OpenVPN 服务器位于 PFSense 上，IRC 服务器位于连接到 PFSense 的本地（NAT'd）LAN 上。我有一个防火墙规则，允许客户端与服务器上的 6667 通信。

正在调查...

延迟/损失- 看起来足够好。不是最好的链接，但我认为这对于 IRC 和 SSH 来说会很好。这是从我的客户端到服务器的 ping，这是我的 IRC 和 SSH 间歇性挂起：

Ping statistics for 10.8.5.2:
    Packets: Sent = 4478, Received = 4460, Lost = 18 (0% loss)

以毫秒为单位的近似往返时间：最小值 = 17.2 毫秒，最大值 = 273.4 毫秒，平均值 = 32.3 毫秒

MSS/MTU 问题- MTU 似乎没问题。我客户端上的 OpenVPN mtu-test 说：

Thu Dec 03 12:41:21 2015 NOTE: Empirical MTU test completed [Tried,Actual] local->remote=[1589,1589] remote->local=[1589,1589]

...这是我的手动测试：

> ping -f -l 1472 10.8.5.2

Pinging 10.8.5.2 with 1472 bytes of data:
Reply from 10.8.5.2: bytes=1472 time=23ms TTL=63

> ping -f -l 1473 10.8.5.2

Pinging 10.8.5.2 with 1473 bytes of data:
Packet needs to be fragmented but DF set.

带宽/吞吐量- 进行了一些 iperf 测试以确保不存在吞吐量问题。再次，看起来足够体面：

iperf -c 10.8.5.2
------------------------------------------------------------
Client connecting to 10.8.5.2, TCP port 5001
TCP window size: 63.0 KByte (default)
------------------------------------------------------------
[  3] local 10.8.0.23 port 18587 connected with 10.8.5.2 port 5001
[ ID] Interval       Transfer     Bandwidth
[  3]  0.0-10.0 sec  26.0 MBytes  21.8 Mbits/sec

谢谢，任何帮助理解“Send-Q”或更具体的关于这个问题的想法将不胜感激。让我知道我是否可以在此处提供更多信息。

更新

发现我实际上有大量的数据包丢失。来自客户端-> VPN 的 Ping 没有显示这一点，但在使用来自 VPN-> 客户端的 fping 时非常明显。我注意到它只是 Windows 客户端，重新安装最新的 OpenVPN 客户端似乎已经修复了损失。它可能与通过磁盘映像安装的 OpenVPN TAP 适配器有关。每台机器手动安装似乎可以解决问题。

在 Linux 系统上我可以

watch -n1 tail /var/log/whatever.log

或者

watch -n1 grep somestuff /var/log/whatever.log

每 1 秒显示一次日志更新。然而，在 FreeBSD 上，watch命令完全是做别的事情。谁知道我正在尝试做的一个好的 FreeBSD 命令？=)

尝试将 cron 作业调整为每 90 分钟运行一次。它以前每 20 分钟运行一次，这是一个简单的 cron 作业：

*/20 * * * * whatever

要将其更改为每 90 个，似乎我需要将其分成 2 个工作，我已经这样做了：

0 0,3,6,9 * * * whatever
30 1,4,7,10 * * * whatever

这是正确的吗？工作似乎没有开始。

我正在尝试使用 ntop 监控 Cisco Catalyst 交换机上的流量。我假设为了查看任何流量，我必须使用监视器，如下所述：http ://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09186a008015c612.shtml .

但是，在我对交换机进行任何操作之前，我只是将我的 ntop 服务器插入并启动了 ntop。令我惊讶的是，我立即看到超过 3 页的主机和数千个数据包。ntop 怎么看这个？

我已验证交换机上不存在监控（运行为 en）：

cs1.pvdc#show monitor
  No SPAN configuration is present in the system.

我的 ntop 服务器是 Ubuntu 8.04，我没有做任何配置，我只是安装了 ntop 包。这也是一个全新的 Ubuntu 安装。

除了“监视器”之外，我的交换机上还有其他任何东西可能会导致我的交换机像这样镜像其所有流量吗？我尝试将 ntop 插入不同的端口，结果相同。

更新：它似乎不仅仅是显示在 ntop 中的广播流量，例如，我可以看到我的 IP 何时与 DNS 服务器通信或生成 HTTP 流量。如果我的开关配置错误，谁能指出我正确的方向来纠正这个问题？不是思科专家。

我正在用带有 gmysql 后端的 PowerDNS 替换我的 BIND 权威名称服务器。我希望我的主域example.com及其关联主机（如www.example.com）可供其他 Internet 名称服务器使用。但是，我希望某些子域（例如in.example.com解析为内部 IP，因此我不希望它们可用于其他名称服务器。例如，host.in.example.com可能指向 192.168.xx

我之前在 BIND 中通过为我的内部网络的 IP 范围指定 ACL 来完成此操作，然后向in.example.com区域添加一条允许查询行。

这种方法是假的吗？PDNS 中是否有替代 ACL 的方法？这些内部名称是否需要委托给另一台服务器？在一个地方进行管理会很方便。

我目前正在使用 Ubuntu 8.04 LTS 上的 powerdns 开发一个新的权威名称服务器。我想让 AppArmor 像使用 bind 一样保护这个服务，但是当我查看 /etc/apparmor.d/ 时，默认情况下没有安装这个服务的 AppArmor 配置文件。

任何有经验的 pdns 管理员都知道 pdns 访问的所有文件，所以我可以定义一个配置文件吗？或者更好的是，有人有 pdns 的个人资料吗？

非常感谢您的任何建议。