ВХОД наборов iptable-восстановления позволяет все
Некоторый тип контроля действительно необходим здесь, без него Вы просто предполагаете. Я предложил бы Munin скорее затем nagios. Nagios действительно не собирается говорить Вам что не так, он просто собирается сказать Вам, что Ваши сервисы снижаются. Это действительно много не поможет Вам.
Nginx может обработать скорости, которые Вы упомянули без потения. Это вряд ли будет Ваша проблема.
Когда Вы говорите, что это имеет очень низкую доступную память, на что точно Вы смотрите? Если Вы просто смотрите на вывод 'свободного-m', отмечают, что Linux попытается использовать любую "свободную" память в качестве дискового кэша. Если для какого-либо процесса на машине на самом деле будет нужна эта память, то дисковый кэш будет освобожден для фактического процесса. Вы не хотите отключать кэширование диска, оно ничего, вероятно, не повреждает.
Сколько процессов Вы заканчиваете с выполнением в любой момент времени? Linux имеет тенденцию не быть счастливым при преобладании над 150 активными процессами сразу.
Нет действительно никакого простого ответа здесь, Вам нужен своего рода контроль, чтобы сказать Вам, что продолжается. Я предлагаю, чтобы Вы выработали привычку никогда развертывания производственной машины без контроля. Это - это важное (и легкий установить с munin).
Как упоминает Катрин, вам нужно убедиться, что вы промываете все ваши цепочки заранее.
iptables -F OUTPUT
iptables -F INPUT
iptables -F FORWARD
Я также предпочитаю очистить политики:
iptables --policy INPUT DROP
iptables --policy FORWARD DROP
iptables --policy OUTPUT DROP
Это потому, что у вас есть правило, разрешающее трафик из любого места в любое место:
-A INPUT -m state - -ГОСУДАРСТВЕННОЕ УЧРЕЖДЕНИЕ, СВЯЗАННЫЕ -j ACCEPT
Конечно, он разрешает пакеты только для установленных сеансов, но iptables -L этого не показывает. Попробуйте iptables -L -v для более полного вывода.
В вашем файле отсутствует это:
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
Если бы вы установили политику по умолчанию с помощью этих команд, она появится перед перечисленными правилами:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
Итак, если вы установите политику по умолчанию, а затем запустите iptables-save , вы должны увидеть строки выше. Сохраните это в свой файл, и восстановление с помощью iptables-restore будет работать.
There is no flushing problem. This happens because you added a rule to allow all trafic in your loopback interface. If you use "iptables -L -v" you will see that the "allow all" rule applies only to the local loopback interface.