kha0s

Наоборот - нулить Ваши IP, на которые идет [D]DOS.

Где это дикое безлюдное место? УТ как минимум в каждом райцентре Украины на своей оптике (точнее ДПМ-овской, но грубо говоря - своей). Во всех селах, которыми этот кабель транзитом идет тоже свои отводы. Строил в основном "Свемон".

Хм, если бы так то проблема была бы у половины локала. Фря тут у многих. Кажется мне проблема именно в кип-стейт на тазике с клиентским нато-ом и крайне слабым железом.

Фря конечно-же не при чем. И инфы по ней в сети выше крыши на каждый чих - было б желание гуглить. Но в сегодняшних реалиях выгодней ставить линукс. Мода.

Как я уже говорил - в моих реалиях рулят киско и джуниперы. А вот в ваших - как-раз можно проверить. Сутки одно, сутки второе и так визуально оценить. Да, ng_car умеет не только шейпер но и лимитер, а второй как-раз ресурсов почти не жрет. Шейпер на скоростях выше пары мегабит имхо не стоит делать - резать лимитером.

По памяти не вспомню точно, но есть нюанс - не всё можно загрузить модулем. Точнее можно, но будет уже поздно. Когда я изучал этот вопрос то помню что все нужные мне модули можно спокойно подгружать из лоадера. ng_car позционируется как менее ресурсоемкий.

Добавленное я не изучал. Я вообще планирую на GENERIC-и откатываться и прощаться с ручной сборкой ядра и мира. Все что я лично себе в ядро добавлял уже проверил на GENERIC (подгрузка модулями, либо параметры в loader.conf). То чего без добавления в ядро не сделать - не критично, могу отказаться в пользу удобного обновления через freebsd-update.

Ну, бегло просмотрев что закоментарено, вроде всё гуд.

Так оно по дефолту в GENERIC, куда ты по необходимости добавляешь что-то свое. Ээээ... Что еще с ядра выкинуто?

Т.е. накидываем мусора и проблема исчезает? А без мусора раз и вылет или как? Буфера ведь не от количества дополнительных правил появляются.

На десятки тысяч правил? Камикадзе А потом люди со соторы думают что фря виновата

Изначально я не знал кому буферов не хватило, по-этому подозревал еще и НАТ

ng? значит шейперу или собственно mpd

Кому-то не хватило. То-ли нату то-ли шейперу поди. Надо читать рекомендации по обеих.

65061 b 65062 в этом случае лишние. Последнее правило и так всё пропустит. Вот на этом примере загрузка ipfw сужается до ната и шейпера. правила с табличками пока игнорирую - не зная что в них трудно предугадать логику поведения файрвола.

Все правила в которых есть слово state. И завершающий deny (предпоследнее) тоже удалить. У тебя в файрволе образно говоря десятки тысяч правил. Это каждый входящий пакет эти десятки тысяч должен пройти. Урежь до пары десятков правил и думаю проблему забудешь. В правилах со state при прохождении через него пакета создается динамическое правило, которым надо обработать ответный пакет. У тебя НАТ. Представь что 10 клиентов запустило торрент скажем по 300-500 потоков. Каждый поток - отдельное правило в файрволе. Представь что клиентов таких больше сотни.

state правила надеюсь удалил?

200? У него весь нат через стейты динамически в мир лезет. Пара сотен клиентов по паре сотен запросов. Достаточно, что-бы файрвол раком машину ставил? На этом фоне +- 10 правил вообще ничто.

У него с PPPoE приходят пакеты с src_ip локалки и наоборот (пару страниц назад в логах было видно). И всякий левонет типа 192.168.x.x с клиентских ng уберет. Надо. Я бы сказал - обязательно у всех на клиентских подключениях. Спуфинг тоже неплохо закрыть. Любой олень из инета может послать пакет с подделаным src_ip - типа с его же сервера. Лучше закрыться и не думать в каком сервисе это может боком выползти.

Забыть их на транзитных роутерах да еще и с натом.

${fwcmd} add 10 deny ip from any to any not verrevpath in ${fwcmd} add 11 deny ip from any to any not antispoof in Первое можно с уточнением входящего инт-са, как я показывал несколькими страницами ранее, но можно и глобально. На первое время можно с логированием ограничив количество однотипных записей через logamount.

Не, я о правилах с антиспуфингом и реверспаз.

Все в которых встречается слово state и предпоследнее (глобальный deny). Добавить те, что я ранее писал. Они хорошо отфильтруют мусор и не нагрузят зря систему. Как то я пропустил мимо о, что это же НАТ для такой тучи клиентов и весь он через состояния к тому-же крутится.

если net.inet.ip.fw.one_pass=1, то просмотр правил ipfw прекращается сразу после подпадание под queue или pipe правило. Если 0, то продолжается обработка далее идущих правил. Т.е. у вас весь файрвол после шейпера коту под хвост А хотя не факт - у вас же ng_car, не гуглил следует ли он этой политике.

cd /sys/modules/hwpmc && make install