<div dir="ltr"><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><br><div class="gmail_quote"><div dir="ltr">On Mon, Jun 4, 2018 at 8:20 AM Ict Security <<a href="mailto:ict.security.job@gmail.com">ict.security.job@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi guys,<br>
<br>
we are running a Bind 9.x Server, everything is going fine.<br>
Under particular heavy load mometns, with some hundreds of concurrent<br>
queries coming in, sometime Bing stops answering for some seconds or<br>
answer with important delays.<br>
<br>
But, when i try to query the same server/same Bind on a NIC alias IP<br>
during congestion on the main IP, everything is fast!<br></blockquote><div><br></div><div><div class="gmail_default" style="font-family:verdana,sans-serif">​This sounds suspiciously like ​conntrack (or some other state / connection tracking) becoming full.</div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Depnding on OS / version, does:</div><div class="gmail_default"><font face="verdana, sans-serif">conntrack -L</font></div><div class="gmail_default"><font face="verdana, sans-serif">or </font></div><div class="gmail_default"><font face="verdana, sans-serif">cat /proc/net/ip_conntrack<br></font></div><div class="gmail_default"><font face="verdana, sans-serif">produce a lot of output?</font></div><div class="gmail_default"><font face="verdana, sans-serif"><br></font></div><div class="gmail_default"><font face="verdana, sans-serif">Are you running iptables / ipfw / <similar>? Behind a firewall? Are there any interesting messages in [/var/log/message|/var/log/syslog/|<wherever you have BIND logging>] ?</font></div><div class="gmail_default"><font face="verdana, sans-serif"><br></font></div><div class="gmail_default"><font face="verdana, sans-serif">W</font></div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
I changed some tunings in:<br>
max-connections in /proc<br>
txqueue in network<br>
ipv4_ports<br>
<br>
and i mitigate something.<br>
But it is not completely solved.<br>
<br>
Do you think Bind could have some NIC IP limit?<br>
Some ideas?<br>
<br>
Really thank you!<br>
Francesco<br>
_______________________________________________<br>
Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br>
<br>
bind-users mailing list<br>
<a href="mailto:bind-users@lists.isc.org" target="_blank">bind-users@lists.isc.org</a><br>
<a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a><br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature">I don't think the execution is relevant when it was obviously a bad idea in the first place.<br>This is like putting rabid weasels in your pants, and later expressing regret at having chosen those particular rabid weasels and that pair of pants.<br>   ---maf</div></div>