a_n_h

так: ipfw nat 3 config ip XXX.XXX.XXX.20 log deny_in unreg_only reset ipfw nat 2 config ip XXX.XXX.XXX.19 log deny_in unreg_only reset redirect_port tcp 172.25.1.34:YYYYY-YYYYY YYYYY-YYYYY ipfw nat 1 config ip XXX.XXX.XXX.18 log deny_in unreg_only reset redirect_port tcp 172.25.0.17:YYYYY-YYYYY YYYYY-YYYYY угу золотое правило, если юзаешь ipfw юзай столько ната сколько можешь, и всё с deny_in ну и менеджмент ип отдельный держать от натовских. если на все доступные ипы повесить nat + deny_in то отпадет управление из мира не работает..... что не правильно: nat 1 config log ip ${

так: ipfw nat 3 config ip XXX.XXX.XXX.20 log deny_in unreg_only reset ipfw nat 2 config ip XXX.XXX.XXX.19 log deny_in unreg_only reset redirect_port tcp 172.25.1.34:YYYYY-YYYYY YYYYY-YYYYY ipfw nat 1 config ip XXX.XXX.XXX.18 log deny_in unreg_only reset redirect_port tcp 172.25.0.17:YYYYY-YYYYY YYYYY-YYYYY

немного вник в это: http://www.major12.net/2014/05/high-cpu-load-with-freebsd-ipfw-nat.html очень похоже на мой случай.

Александр Ляхов, адекватен, все вопросы решаю всегда с ним. он сейчас в отпуске, на месте Анатолий, аналогично мне помог.

спасибо за подсказку: Предлагаю проверить такое: 1. убираем в настройках same_ports (описание причины тут http://www.major12.net/2014/05/high-cpu-load-with-freebsd-ipfw-nat.html ) 2. делаем правило ограничения на вход из мира на внешние IP в которые выполняется НАТ: ipfw add 1 deny udp from any to XXX.XXX.XXX.20,XXX.XXX.XXX.19,XXX.XXX.XXX.18 dst-port 53,123 ipfw add 1 deny tcp from any to XXX.XXX.XXX.20,XXX.XXX.XXX.19,XXX.XXX.XXX.18 dst-port 23,37777 но чтобы знать точно что блокировать - сделать в ipcad экспорт netflow на коллектор и увидеть по какому порту идет всплеск flows

Фактически это продолжение темы: https://local.com.ua/forum/topic/91594-%D0%BF%D1%80%D0%BE%D0%B1%D0%BB%D0%B5%D0%BC%D0%B0-%D1%81-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D0%BE%D0%BC/

что в какой сети находится? т.е. какие айпи и маска у ОЛТ и тестовой машины?

ipfw nat show config ipfw nat 3 config ip XXX.XXX.XXX.20 log deny_in same_ports unreg_only reset ipfw nat 2 config ip XXX.XXX.XXX.19 log same_ports reset redirect_port tcp 172.25.1.34:YYYYY-YYYYY YYYYY-YYYYY ipfw nat 1 config ip XXX.XXX.XXX.18 log same_ports reset redirect_port tcp 172.25.0.17:YYYYY-YYYYY YYYYY-YYYYY

хоть не большой толк - доступность сервера для анализа во время атаки.

Атака уже прекратилась, "когда-то где-то слышал", что можно написать какой-то скрипт, какой будет мониторить входящий трафик и если будет с какого-то айпи идти подозрительное, то сразу банить. Кто-то может помочь, конечно не бесплатно.

очень похоже во время атаки ничего увидеть не могу, в нормальном состоянии все в норме, в данный момент уже все успокоилось.....

NAS FreeBSD. Очередная атака..... сервер полностью "умирает" ни на что не реагирует пока не отключишь аплинк. Кто реально может помочь с защитой от напасти?

В работе..... вроде глюков не замечено, загружается действительно очень быстро. Пока рекомендую!

на сегодня - "одесса" дешевле. На сьогодні "одесса" дорожче только что заказал у своего поставщика 4-ку на 1 Кн - 4,41 грн/м безо всяких скидок и акций.....

начнёмс... продолжим, где опоры?

В 2 по 100 верится больше. закон сохранения знаешь? куда еще 800 денется?

так очевидно - на вход гигабит, на выходе 2-а по 500

не понятно это: т.е. медик стоит у абона? если так то вполне логично предложение перейти на PON.

т.е. очередная ложка дегтя.....

"Гуртом батька добре бити" - основная проблема - энтузиазма может хватить у одного-двоих, а больше......

Аналогично, нужен, кто может поделиться?

Купил, все соответствует оговоренному, рекомендую!

Dictator - местная достопримечательность! Уже можно платные экскурсии организовывать.

с чего такая уверенность? я бы не спешил хоронить Укртелеком!

Неспешно куплю б/у ОЛТ BDCOM3310. Предложения в личку.