LINUX.ORG.RU
ФорумAdmin

SFTP медленный


1

1

Собственно сабж. Очень медленная скорость передачи файлов по SGTP, которая уменьшается, стремясь к нулю, после чего меня выкидывает. Локальная сеть, CentOS. Также при скорости порта 100 МБит загрузка файлов с интернета и отдача файлов не превышают 500 кбит/с. Куда копать? Довольно жесткие правила защиты на сервере. Но не думаю, что они на это влияют. 

[root@server ~]# uname -a
Linux server 2.6.32-358.18.1.el6.i686 #1 SMP Wed Aug 28 14:27:42 UTC 2013 i686 i686 i386 GNU/Linux

[root@server ~]# iptables-save
# Generated by iptables-save v1.4.7 on Sat Oct  5 00:15:02 2013
*mangle
:PREROUTING ACCEPT [48561:41118042]
:INPUT ACCEPT [48561:41118042]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [43203:10552154]
:POSTROUTING ACCEPT [43203:10552154]
-A PREROUTING ! -s 192.168.0.0/24 -p igmp -j DROP
COMMIT
# Completed on Sat Oct  5 00:15:02 2013
# Generated by iptables-save v1.4.7 on Sat Oct  5 00:15:02 2013
*filter
:INPUT ACCEPT [48105:41088477]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [43203:10552154]
-A INPUT -i lo -j ACCEPT
-A INPUT ! -s 192.168.0.0/24 -m set --match-set blacklist src -j DROP
-A INPUT ! -s 192.168.0.0/24 -p udp -m udp -j DROP
-A INPUT ! -s 192.168.0.0/24 -p icmp -m icmp --icmp-type any -j DROP
-A INPUT ! -s 192.168.0.0/24 -p tcp -m tcp -m connlimit --connlimit-above 30 --connlimit-mask 32 -j SET --add-set blacklist src
-A INPUT ! -s 192.168.0.0/24 -m geoip  ! --source-country RU,UA,BY,DE,EE,EU,FI,IS,KZ,LT,LV,NO,PL,UZ,US -j DROP
-A INPUT ! -s 192.168.0.0/24 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j REJECT --reject-with tcp-reset
-A INPUT ! -s 192.168.0.0/24 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN -j REJECT --reject-with tcp-reset
-A INPUT ! -s 192.168.0.0/24 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j REJECT --reject-with tcp-reset
-A INPUT ! -s 192.168.0.0/24 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j REJECT --reject-with tcp-reset
-A INPUT ! -s 192.168.0.0/24 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j REJECT --reject-with tcp-reset
COMMIT
# Completed on Sat Oct  5 00:15:02 2013

sysctl.conf
net.ipv4.conf.all.rp_filter=1
net.ipv4.conf.lo.rp_filter=1
net.ipv4.conf.eth0.rp_filter=1
net.ipv4.conf.default.rp_filter=1
net.ipv4.conf.all.accept_source_route=0
net.ipv4.conf.lo.accept_source_route=0
net.ipv4.conf.eth0.accept_source_route=0
net.ipv4.conf.default.accept_source_route=0
net.ipv4.tcp_max_syn_backlog=1024
net.ipv4.tcp_max_tw_buckets=720000
net.ipv4.tcp_tw_reuse=1
net.ipv4.tcp_tw_recycle=1
net.ipv4.tcp_fin_timeout=15
net.ipv4.tcp_keepalive_time=1800
net.ipv4.tcp_keepalive_probes=7
net.ipv4.tcp_keepalive_intvl=30
net.ipv4.tcp_rmem=4096 8388608 16777216
net.ipv4.tcp_wmem=4096 4194394 16777216
net.ipv4.ip_forward=0
net.ipv4.tcp_syncookies=1
net.ipv4.icmp_echo_ignore_broadcasts=1
net.ipv4.conf.all.send_redirects=0
net.ipv4.conf.all.accept_redirects=0
net.core.somaxconn=8192
net.core.rmem_default=262144
net.core.wmem_default=262144
net.core.rmem_max=8388608
net.core.wmem_max=8388608
net.core.netdev_max_backlog=100
kernel.core_uses_pid=1
kernel.msgmnb=65536
kernel.msgmax=65536
kernel.shmmax=68719476736
kernel.shmall=4294967296
kernel.panic=15
vm.swappiness=30
vm.dirty_ratio=15
fs.file-max=64000

sshd config
AddressFamily inet
Protocol 2
# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key
SyslogFacility AUTHPRIV
LogLevel INFO
LoginGraceTime 15
PermitRootLogin yes
MaxAuthTries 3
#MaxSessions 3
RSAAuthentication no
PubkeyAuthentication no
#AuthorizedKeysFile	.ssh/authorized_keys
#AuthorizedKeysCommand none
#AuthorizedKeysCommandRunAs nobody
RhostsRSAAuthentication no
#IgnoreUserKnownHosts no
IgnoreRhosts yes
PasswordAuthentication yes
PermitEmptyPasswords no
ChallengeResponseAuthentication no
KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no
#KerberosUseKuserok yes
GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
#GSSAPIStrictAcceptorCheck yes
#GSSAPIKeyExchange no
UsePAM no
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
AcceptEnv XMODIFIERS
#AllowAgentForwarding yes
AllowTcpForwarding no
#AllowUsers 1337club
#GatewayPorts no
X11Forwarding no
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
PrintLastLog yes
KeepAlive yes
#UseLogin no
#UsePrivilegeSeparation yes
#PermitUserEnvironment no
Compression yes
#ClientAliveInterval 0
#ClientAliveCountMax 3
#ShowPatchLevel no
#UseDNS yes
PidFile /var/run/sshd.pid
#MaxStartups 10
PermitTunnel no
#ChrootDirectory none
Banner /etc/ssh/banner

Subsystem	sftp	/usr/libexec/openssh/sftp-server

#Match User anoncvs
#X11Forwarding no
#AllowTcpForwarding no
#ForceCommand cvs server


При остановленном iptables и обнуленном sysctl скорость не превышает 70 кбит/с. Ну что такое?

Wheely
() автор топика

Также при скорости порта 100 МБит загрузка файлов с интернета и отдача файлов не превышают 500 кбит/с.

Очевидно - провайдер.

gh0stwizard ★★★★★
()
Ответ на: комментарий от Wheely

Ну хорошо, а почему в локали-то sftp отваливается?

У тебя все правила направлены против локалки. Следовательно ACCEPT на все.

http://kb.mit.edu/confluence/pages/viewpage.action?pageId=7144818

Запускай sshd с verbose. И смотри, что пишет. Возможно проблема на стороне клиента.

gh0stwizard ★★★★★
()
Ответ на: комментарий от gh0stwizard

Да я выключил фаервол, скорость не превышает 70 кбит, как я уже выше сказал. Загрузка как цп, так и памяти на обеих сторонах мизерная во время передачи. Ноут соединен по воздуху, соединил по проводу - ситуация не изменилась.

Wheely
() автор топика
Ответ на: комментарий от Wheely

Ах, да, ступил. Это loopback. Но все равно при выключенном iptables ситуация изменяется не намного.

Wheely
() автор топика
Ответ на: комментарий от Wheely

Еще раз, копай в сторону провайдера. Ну для уточнения, можешь поставить nginx и скачать файлик в несколько десятков метров.

gh0stwizard ★★★★★
()
Ответ на: комментарий от gh0stwizard

Рекомендую заюзать fail2ban или аналог. Это так, к слову :)

Зачем он мне нужен? При скане портов ssh себя не выдает.

Еще раз, копай в сторону провайдера. Ну для уточнения, можешь поставить nginx и скачать файлик в несколько десятков метров.

И опять-таки, при чем провайдер до моей локальной сети? У меня сервер под кроватью. nginx стоит.

Wheely
() автор топика
Ответ на: комментарий от Wheely

Зачем он мне нужен? При скане портов ssh себя не выдает.

Зато при брутфорсе выдает :) nmap -A -T4 my.server не выдает ничего? А в других странах все отлично, если ты дал полных конфиг iptables. У меня сейчас сервак подопекой брутфорсится постоянно со всего мира. Добавляй тогда вообще все страны.

У меня сервер под кроватью. nginx стоит.

А точно, невнимательно прочитал тему. Тогда надо думать... ifconfig ошибки на интерфейсе не показывает?

gh0stwizard ★★★★★
()
Последнее исправление: gh0stwizard (всего исправлений: 1)
Ответ на: комментарий от gh0stwizard

А какие он ошибки может показать? 

[root@server 123121qedsa]# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:18:F3:A2:D8:64
          inet addr:192.168.0.2  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::218:f3ff:fea2:d864/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:190608 errors:0 dropped:0 overruns:0 frame:12617
          TX packets:189943 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:137116590 (130.7 MiB)  TX bytes:89179328 (85.0 MiB)
          Interrupt:23 Base address:0x8800

Wheely
() автор топика
Ответ на: комментарий от Wheely

http://serverfault.com/questions/185331/exact-meaning-of-rx-errors-and-frame-...

RX errors mean that your NIC is receiving malformed frames from the transmitting switchport.

Frame errors mean CRC failures on receipt of a frame. The root cause of this could be a bad cable, or a bad interface on either the machine or the switch. Try replacing the cable, then moving to another port on the switch.

gh0stwizard ★★★★★
()
Ответ на: комментарий от gh0stwizard

Я хочу поставить драйвер от разработчика заместо того, что есть,на сетевуху, но они очень старые, последний - за 06 год, который нашел. Да, нагуглил то, что frame пакетов не есть хорошо. Но вот что с этим делать - пока не узнал.

Wheely
() автор топика
Ответ на: комментарий от gh0stwizard

Роутер китайский длинк за три рубля. Через него все маршрутизируется. Сейчас попробуем перетыкнуть на другой порт.

Wheely
() автор топика
Ответ на: комментарий от Wheely

Переставил на другой порт и с другим кабелем, ситуация изменилась, но не намного. В самом начале скорость была около 150 кбит/с, сейчас опять такое же и frame увеличивается с большой скоростью.

Wheely
() автор топика
Ответ на: комментарий от gh0stwizard

Ну у меня бомжесервер с интегрированной сетевухой, да еще и с бичевским маршрутизатором, все менять нужно, если рассудить. Но не было же такого раньше.

Wheely
() автор топика
Ответ на: комментарий от Wheely

Есть еще мизерный шанс, что а) драйвер кривой/сырой б) обновление BIOS как-то повлияло/повлияет. Вобщем, можешь погуглить, но имхо это маловероятно и через чур много сил на это бросать не стоит.

gh0stwizard ★★★★★
()
Ответ на: комментарий от gh0stwizard

Обновлял я биос последний раз года 4 назад, насчет дровов не знаю, но если отдельно ставить, то там они очень тухлые, им по 5 лет. У меня старое железо, которое уже даже и не поддерживается. Но ведь все равно такого раньше не было, мегабит но был.

Wheely
() автор топика
Ответ на: комментарий от Wheely

Но ведь все равно такого раньше не было, мегабит но был.

Да всякое может быть. Важно то, что проблема локализована и надо ее решить.

gh0stwizard ★★★★★
()
Ответ на: комментарий от anonymous

mii-tool -F 10baseT-HD eth0 && service network restart

OH SHI~~~ Фреймы пропали (их под утро набралось больше 50000), а скорость по Sftp в среднем 400 кб. Пока.

Wheely
() автор топика
Ответ на: комментарий от Wheely

Олсо, если локалка на полторы машины - sftp совсем не обязательно использовать, можно обойтись неткатом (nc).

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin