kha0s

1000 абонентов - по 100 баксов провайдер заплатит каждому!

Очень лень в чужих правилах копаться, как я уже говорил - я бы половину этой паранойи выбросил. allow tcp from any to any established как можно выше - его суть не нагружать файрвол тем, что уже разрешено. Но у вас наты, шматы, шейперы, шмейперы - видимо в акурат за ними и ставить Вот тут интересно - глазками анализировали этот логгинг? Есть предположение что в это правило попадает слишком много траффика и логируя весь этот мусор мы дико тормозим вход, в результате чего система тупо виснет. Лог в глобальных местах нужен на момент внедрения - недельку понаблюдать и сделать у

Т.е. весь ресурс в тот момент именно дамминет отъедал? Не прерывания как раньше? Если дамминет все проще - есть куда рыть. В конце концов - использовать ng car вместо него. Хотя уверен что там что-то криво сетапится. Кинь пример правил для создания пайпов и заворачивания в них траффика.

Не-не - dummynet это шейпер, nat - совсем другое. И у первого и у второго свои закидоны. У меня что первое, что второе делают cisco. Лет 10 назад настроил и забыл.

Не использую дамминет, брасы все железячные. В момент критической загрузки глянь ipfw pipe show для начала. Да и вообще - параметры пайпов из абилсового скрипта изучить не помешает, может в новых версиях где-то чего-то поменяли. Как в самой фри, так и в абилсе.

Это в буквальном смысле - переложил с больной головы на здоровую Надо разбираться почему дамминету крышу срывает.

В цьому мені лінь колупатися - на вскидку я б там половину вирізав і дещо місцями поміняв.

keep-state не потрібен для udp. Потрібен. У мене саме на такому костилі живуть ntpd сервіси на фрях: allow udp from me to any 123 keep-state. Якщо запит на синхронізацію ініційовано моїм ntpd - відслідковуємо keep-state і пропускаємо відповіді. Якщо це вхідний ntp запит не з трастових мереж - блокується.

Итак, перебрав всё железо мы неуклонно приближаемся к реализации шейпера в какой-то (довольно старой, да?) версии абилс-а. Помню как на 4-ке еще при динамическом добавлении убивании пайпов я и многие знакомые получали жесткий вис фряхи.

Закона? В Макеевке?

А менял местами (линками) fxp0 и fxp1? Ошибки хотя-бы netstat-ом глянуть.

Собственно именно поллинг должен снизить загрузку по прерываниям. У fxp он должен бы быть неплохо запилен. А с самой физикой проблем нету на fxp0? Ошибки бы оценить.

Перед ребутом она сообщает что ей не нравится.

А у меня IP интерфейсы строго вида vlanXXXX.

Да, как в анекдоте - а вы пройдитесь по базару, поторгуйтесь.

Вот настоящий уличный бокс! https://www.youtube.com/embed/4pLaWzHKUSQ

Насколько я припоминаю - на EX3xxx будет всегда работать, просто надоедать этими warning-ами в логах и консоли. На EX4xxx просто не заведется без лицензии. Но лучше бы кто-то у кого именно такое в работе отписался.

В любом случае - молодцы!

dst-active: no это автопереход с зимнего на летний и наоборот, лучше включить. Не знаю на какой железяке это всё строится но глобально ntp не сможет поменять время если оно более чем на ~5 минут отличается от системного - сначала нужно сделать ntpdate, потом уже передать правление ntpd. В Вашем случае где-то должна быть кнопочка типа "Sync now!"

62.149.0.30 и 31.28.161.71 с него доступны (ну хотя-бы пингануть)? Временную зону тоже надо установить - gmt-offset: +02:00, назвать не манул а Ukr например. Если есть возможность задать переход на летнее/зимнее время - обязательно включить.

Ну, судя по вышесказанному зануление будет с условием. Как они это реализуют - их дело.

Зачем ты разрушил мой мир?! Честно - не ожидал такого от именитых вендоров. Везьде пионэры поучаствовали.

Триальные?

Не доверяю я как-то всяким не мейнстримовским антивирям. Не успеют они поймать вирусы, которые так активно клепают и тут-же "лечат" Касперский и компания

Под FreeBSD для похожих целей (упс с удаленной площадки притянуть по IP на рабочую винду и скормить виндовому софту) использовал com-serv из портов, под виндой ловил через что-то типа tcpcom. В общем софта хватает.