Среднее число системной нагрузки является метрикой производительности, используемой для представления, сколько работы система делает. Когда Вы входите в свой почтовый сервер (принимающий систему типов UNIX), можно ввести команду времени работы для наблюдения среднего числа загрузки по последней минуте, 5 минут и 15 минут. Вот пример от рабочего сервера:
sh$ uptime
10:53am up 248 day(s), 36 min(s), 12 users, load average: 0.28, 0.29, 0.30
Таким образом, 5-минутное среднее число загрузки 0.28, среднее число загрузки в течение прошлых 5 минут 0.29 и т.д. В этом случае Вы видите, что загрузка системы понижается немного со временем.
Как показывает опыт, Вы захотите сохранить загрузку сервера ниже 1. Но это не обязательно верно во всех случаях. Если Вы будете наблюдать свой сервер (серверы) некоторое время, то Вы начнете видеть, какова разумная загрузка. Это - вероятно, самый легкий способ понять это, просто наблюдая его в реальном мире. Тем не менее то, как среднее число загрузки вычисляется, на самом деле довольно сложно, но если Вам интересно, я рекомендую проверить следующую статью о том, как Linux вычисляет его:
http://www.linuxjournal.com/article/9001
Теперь назад к sendmail. Sendmail может быть настроен только к сообщениям очереди, или утончаться сообщения отклонения, когда среднее число загрузки (LA) становится слишком высоким. Идея состоит в том, что это помешает sendmail удалять Вашу целую систему. Если это отказывается от соединений слишком рано, существует две настройки, на которые можно посмотреть в sendmail.cf:
O QueueLA=8 - load average at which Sendmail queues new messages
O RefuseLA=12 - load average at which Sendmail rejects connections
Поиск с помощью Google на вышеупомянутом возвратил страницу с некоторыми инструкциями относительно того, как изменить эти параметры (при использовании макросов M4), который мог бы быть полезным:
На первый взгляд кажется, что Debian расширяет границы для отправки перенаправления ICMP; цитируя RFC 792 (Интернет-протокол) .
Шлюз отправляет сообщение перенаправления на хост в следующем ситуация. Шлюз G1 получает дейтаграмму в Интернете от хост в сети, к которой подключен шлюз. Шлюз, G1 проверяет свою таблицу маршрутизации и получает адрес следующего шлюз, G2, на маршруте к интернет-адресату дейтаграммы сеть, X. Если G2 и хост, идентифицированный интернет-источником адрес дейтаграммы находится в той же сети, перенаправление сообщение отправлено на хост. Сообщение о перенаправлении сообщает хост для отправки своего трафика для сети X непосредственно на шлюз G2 как это более короткий путь к месту назначения. Шлюз вперед исходные данные дейтаграммы к месту назначения в Интернете.
В данном случае G1 - это 10.1.2.1
( eth1: 0
выше), X - это 10.1.1.0/24
, а G2 - 10.1.1.12
, а источником является 10.1.2.20
(т.е. G2 и хост, указанный в интернет-источнике
адрес дейтаграммы ** НЕ ** в той же сети
). Возможно, это исторически интерпретировалось по-разному в случае псевдонимов интерфейса (или вторичных адресов) на одном и том же интерфейсе, но, строго говоря, я не уверен, что мы должны увидеть, как Debian отправляет это перенаправление.
В зависимости от ваших требований вы можете быть в состоянии решить эту проблему, сделав подсеть для eth1
чем-то вроде 10.1.0.0/22
(адреса хоста из 10.1.0.1
- 10.1.3.254
) вместо использования псевдонимов интерфейса для отдельных блоков / 24
( eth1
, eth1: 0
, eth1: 1
, ] eth1: 2
); если вы это сделаете, вам нужно будет изменить сетевую маску всех подключенных хостов, и вы не сможете использовать 10.1.4. x, если вы не расширили его до / 21
.
РЕДАКТИРОВАТЬ
Мы решаемся немного выйти за рамки исходного вопроса, но я помогу проработать проблемы дизайна / безопасности, упомянутые в ваш комментарий.
Если вы хотите изолировать пользователей в своем офисе друг от друга, давайте вернемся на секунду и рассмотрим некоторые проблемы безопасности с тем, что у вас есть сейчас:
В настоящее время у вас есть четыре подсети в одном широковещательном домене Ethernet . Все пользователи в одном широковещательном домене не соответствуют требованиям безопасности, сформулированным вами в комментариях (все машины будут видеть широковещательные сообщения с других машин и могут спонтанно отправлять трафик друг другу на уровне Layer2, независимо от того, используется ли их шлюз по умолчанию eth1
], eth1: 0
, eth1: 1
или eth1: 2
). Ваш брандмауэр Debian ничего не может сделать, чтобы изменить это (или, может быть, я должен сказать, что вашему брандмауэру Debian не следует ничего сделать, чтобы это изменить: -).
10.1.1.12
, у вас есть несколько вариантов:
10.1.1.12
, вы можете поместить всех пользователей в одну IP-подсеть и реализовать политики безопасности с помощью частных виртуальных локальных сетей (RFC). 5517) , если ваш коммутатор Ethernet поддерживает это. Эта опция не требует правил iptables
для ограничения внутриофисного трафика, не пересекающего границы безопасности (что достигается с помощью частных виртуальных локальных сетей). iptables
для развертывания ваших политик безопасности К вашему сведению, если у вас есть маршрутизатор, поддерживающий VRF , кое-что из этого станет еще проще; IIRC, у вас есть машина с Cisco IOS. В зависимости от модели и образа программного обеспечения, которые у вас уже есть, Cisco может прекрасно изолировать ваших пользователей друг от друга и реализовать политики маршрутизации на основе источника.
Непонятно, что вы пытаетесь сделать, но могу сказать следующее.
Эти подсети подключены к одному и тому же физическому интерфейсу. Маршрутизатор Linux будет возвращать сообщение о перенаправлении ICMP, когда полученный пакет должен быть перенаправлен через тот же физический интерфейс.
Я согласен с комментариями Халеда и также добавлю в конец его фразы:
«Эти подсети подключены к одному и тому же физическому интерфейсу. Linux маршрутизатор вернет сообщение о перенаправлении ICMP, когда полученный пакет должны быть перенаправлены через тот же физический интерфейс » на тот же подсеть назначения , затем перенаправляет запрос на следующий переход. Это случилось со мной сегодня, используя маршрутизатор Mikrotik linux и F5 bigip. Устройство LTM.
root@(primaryadc)(cfg-sync In Sync)(Standby)(/Common)(tmos)# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
From 192.168.153.20: icmp_seq=1 Redirect Host(New nexthop: 192.168.153.2)
64 bytes from 8.8.8.8: icmp_seq=1 ttl=128 time=82.8 ms
From 192.168.153.20: icmp_seq=2 Redirect Host(New nexthop: 192.168.153.2)
64 bytes from 8.8.8.8: icmp_seq=2 ttl=128 time=123 ms
**routing table**
0.0.0.0 192.168.153.20 0.0.0.0 UG 0 0 0 external