major12

Покажіть top на момент зависання (щось типу top -CHPSzs1) Уточню, зависає повністю чи, наприклад, якщо відключити езернет, то вертається до життя? Очистіть під 0 файли sysctl.conf & loader.conf Далі варто починати думати про хардкор - pmcstat https://wiki.freebsd.org/PmcTools/CallchainCaptureAndAnalysis

Зараз KaYot побачить keep-state і почнеться...

Народ, та не скидайте вже аж так тему у флуд, з вашим ssh

Асоціація приблизно отака

Та ні. На відкриття нового і корисного народ реагує стримано і скептично (відношення десь як до спаму). Це все реакція на домен gov.ua

Ну імхо підтверджувати дані, які ітак мають бути коректними, це як дзвонити в 02 і розказувати "доброго дня, я живий, у мене нічого не вкрали, дякую." Ви би краще розказали що ми такі от гарні. хочемо зробити портал з відображенням ІТ інцидентів по Україні, "безплатно, без смс", кому цікаво - відпишіть.

А якщо дані по замовчуванню правильні? А от цим 5 відсоткам було про що запитати, виправити, чи просто полистуватись захотілось.

Я використовую bwm-ng і режим середнє значення за 30 секунд. Спробуйте, є в портах.

Спочатку понакидаєте туди всякої всячини через >>/dev/null а потім жалієтесь

В конфіг бінда щось типу $GENERATE 5-255 $ PTR nat-pool-$.provider.net

А підкажіть чим ви моніторите упси. Чи підтримуються упси з зовнішніми батареями наприклад NUT'ом (network ups tools) ?

Там ще й крім мілісекунди буде зменшення навантаження на процесор.

Ви мабуть не зрозуміли (чи не хочете показати що зрозуміли), що ipfw NAT + deny_in поводиться еквівалентно до statefull firewall - відкидає вхідні пакети, якщо сесія не ініційована зсередини. Лінукс починати вчити мені не потрібно, я вже маю 3+ роки комерційного досвіду Просто я не релігійний фанат якоїсь технології і під певну задачу вибираю певний інструмент.

Так ніхто і не використовує стейти в фаєрволі. Це ж не лінукс якийсь.

2 KaYot Ви самі собі суперечите. > Да, NAT 1-to-many это всегда conntrack. Но даже на НАТ-боксах использовать модули state, фактически для каждого пакета просматривающие таблицу состояний, не имеет смысла, выгоднее написать более длинный stateless набор правил. > Ну а на машине без НАТа использовать statefull просто преступление против ресурсов. У кожного свої ресурси і свої потреби. Можна сказати що використання авто це теж злочин проти ресурсів - бензин же не безплатний.

спробуйте ${CMD} add 1200 nat 1 ip from any to not table\(9\) via $if_in out або якщо у вас в таблиці 9 нічого цікавого, то навіть замість 1200 і 1300 правил ${CMD} add 1200 nat 1 ip from any to any via $if_in Я об этом и говорю. Разворачивать на сервер доступа statefull фаервол может или ламер, или наркоман. С первым все понятно, он просто не в курсе как сильно все эти таблицы состояний жрут ресурсы и что можно делать по-другому. Ну а наркоман когда-то собрал такую схему, и с тех пор по накатанному пути все делает одинаково.Statefull имеет смысл использовать только на сервер пр

Конфіг фаєрвола покажіть.

Де ви взагалі прочитали що щось падає від пінгу?

Загалом про "сервер падає від пінгу", дуже нагадало

Так мова не про сервер, а про statefull firewall, який не пропустить вхідний пінг, бо він не ініційований зсередини. Але "краще ставте лінукс" - ще разок можна послухати

Або визначитись - вам шашечки чи їхати? Заробляти гроші на клієнтах чи на вхідному icmp трафіку.

Ідея у тому що libalias, а саме ця бібліотека використовується в ipfw kernel nat, має помилки архітектури, через що, коли використовувати її без deny_in маємо проблеми. Але вам би спочатку переконатись, що процесор грузить саме kernel і т.д.

pf nat теж можна назвати ядерним. У вас ipfw nat. ${CMD} nat 1 config log if igb0 reset same_ports deny_in

Який нат використовуєте?

А загалом можна і не вішати айпішки аліасами на інтерфейс. ipfw nat пряцює і без того. Головне щоб маршрутизація працювала правильно. І вхідні пакети, які не "пронатились" вбивати фаєрволом чи роутингом в blackhole.