kha0s

Суть не в том - правило предполагало доступность IP на инт-се bge1 из вне, в том числе с самого сервера (мало там - вдруг нужно?)

Да убрать его совсем и проверить есть ли доступ к IP что на том инт-се навешано.

Да, 50 надо изменить, тут аналогия с lo0 не прокатит. 65055 вроде как лишнее - 65060 должно в обе стороны пакеты в нат заворачивать по идее.

43 правило заменить на: ${fwcmd} add 12 deny ip from any to any not antispoof in 5-е правило, кстати, зачем?

А вот для ng предназначен волшебный параметр verrevpath который, кстати, где-то в ваших правилах мелькал ну совсем не к месту. Применение его на "магистральных" инт-сах без понимания самоубийство и диверсия. Он вырежет весь мусор от клиента сам. ${fwcmd} add 10 deny ip from any to any not verrevpath in recv ng\* ${fwcmd} add 11 deny ip from any to any not verrevpath in recv bge1

Впринципе без разницы - что мучать нат, потом жать, что наоборот. Хотя по логике, если пакет наш - зачем его в нат пихать? Пусть сразу улетает на выходе из шейпера к клиенту. Т.е. allow ip from me to any поставить после шейпера но до ната. Лишняя нагрузка на нат ни к чему. Но при этом входящие пакеты соотв. тоже незачем заворачивать в нат, если они предназначены локальным IP (to me).

Да, суть - перепрыгнуть завершающий deny и пойти дальше проверяться по правилам.

Как-то так всё что касается bge1 (одним номером все правила для удобства): ${fwcmd} add 50 allow ip from any to any via bge1 // sam k sebe ${fwcmd} add 50 allow tcp from 10.128.10.0/24 to me dst-port 80 in recv bge1 // localka k nashemu www ${fwcmd} add 50 allow udp from 10.128.10.0/24 to me dst-port 53 in recv bge1 // localka v nash DNS ${fwcmd} add 50 skipto 51 ip from 172.16.20.0/24 to any in recv bge1 // PPPoE idet dalshe ${fwcmd} add 50 deny ip from any to any in recv bge1 // ostalnoe rezhem Подразумевается что где-то после шейпера и ната присутствует: allow ip from me to

Ну зачем столько паранойи? Запрещай доступ к тем сервисам, которые у тебя реально подняты. Не придется искать черных кошек в темных комнатах.

С bge1 надо пропускать только то, что можно. Можно только 172.16.20.х ? Его в pass (пусть гуляет по правилам). Остальное - deny (и никаких логов).

Я уже писал кто - ищи выше. повторю в 3-й раз вопрос - почему этот траффик вообще покидает bge1? Ведь в нат ему я так понимаю низзя.

Жопа замкнулась

Таки да, Алексу крупно повезло с такими ассоциациями.

Console Redirect в биосе нужен что-бы можно было войти в сам биос по консоли. Загрузчик фри все-равно это перехватит если включена serial console в самой фри. Есть у меня один отставной уже IBM 336 кажись - купили б.у, поотваливалось за год половина всего, включая клаву. Так на сериал консоли и жил.

В любом случае - с правила 65534 надо убрать log logamount 100 вообще.

А я в 99-м с 2.2.8 начал С того времени мои пчелки 24х7х365 трудятся. 2 раза полностью менялось железо, простой около 10 минут ну и раз в релиз простой такой-же - собираю мир вручную, потом установка в сингл мод вынужденно минут на 10 простой дает глубокой ночью. Морально готов перейти на freebsd-update, но как-то лень

Так не логируй этот мусор. Именно на большом потоке скорее всего из-за логирования он и крешит систему. И вообще убивай его еще на первых правилах файрвола. Это не dos, это банальный выход в инет с сети 10.128.10.00.24 (почему она не прибита по входу из bge1?). А поскольку в нат эта сеть не заворачивается она петляет файрволом и дохнет на его последнем правиле.

http://abills.net.ua/wiki/doku.php/abills:docs:manual:ng_car я знаю что такое ng_car. Я о том что : Почему в листинге ipfw show что выше я не вижу правил номер: 10000, 10010, 10020, 10025, 60010 и 01020. Они хоть и динамически, но добавляются и в живом листинге обязаны присутствовать.

Гы, я как-то интуитивно сижу на 9.3 и горя не знаю Тьфу-тьфу.

Ничего не понимаю - почему в выводе ipfw show нету правил с последнего поста? Файрвол и абилс с его натом и шейпером в разных вселенных живут?

шейпер , как только включаю его, swi1 - сразу по 100. И это при включенном поллинге на сетевых Ну, покажите еще ipfw show и ipfw pipe show в пиках. Может еще на какие мысли натолкнет.

Теперь смотреть в час пик кто именно шалит. Прерывания? Дамминет? Нат? Файрвол?

Бинго. Как я и предполагал. Пакеты тормозятся, заполняя буфер - не успевают логироваться. Буфер заканчивается и биг бада бум. Урежь паранойю

Брошу всё и уеду в Подгорцы к инету подключаться.

Кстати - где это?