Kucher2

Чёрт. Почему мне никто этого не сказал, когда я переходил с чистого ipfw на связку ipfw+pf.

Блин, чем вам так pf не люб и pipe? По-моему должно колбасить всё на такой машине, неужели так критично при 150 юзерах?

Т.е. его обязательно надо выкинуть? Не хотелось бы, он мне нравится, к тому же у меня на нём завязано кое-что. systat: sysctl: dev.igb.0.%desc: Intel(R) PRO/1000 Network Connection version - 1.7.3 dev.igb.0.%driver: igb dev.igb.0.%location: slot=0 function=0 dev.igb.0.%pnpinfo: vendor=0x8086 device=0x10c9 subvendor=0x8086 subdevice=0xa03c class=0x020000 dev.igb.0.%parent: pci1 dev.igb.0.debug: -1 dev.igb.0.stats: -1 dev.igb.0.flow_control: 3 dev.igb.0.enable_aim: 1 dev.igb.0.low_latency: 128 dev.igb.0.ave_latency: 450 dev.igb.0.bulk_latency: 1200 dev.igb.0.rx_processing_limit: 100 dev.igb.1.%desc: Intel(R) PRO/1000 Network Connection version - 1.7.3 dev.igb.1.%driver: igb dev.igb.1.%location: slot=0 function=1 dev.igb.1.%pnpinfo: vendor=0x8086 device=0x10c9 subvendor=0x8086 subdevice=0xa03c class=0x020000 dev.igb.1.%parent: pci1 dev.igb.1.debug: -1 dev.igb.1.stats: -1 dev.igb.1.flow_control: 3 dev.igb.1.enable_aim: 1 dev.igb.1.low_latency: 128 dev.igb.1.ave_latency: 450 dev.igb.1.bulk_latency: 1200 dev.igb.1.rx_processing_limit: 100 ipfw list: #Пропускает драфик для DNS и NTP 00004 allow udp from any 123 to any dst-port 123 00005 allow ip from any 22 to any dst-port 22 00015 allow udp from 127.0.0.1 53 to any 00016 allow udp from any to 127.0.0.1 dst-port 53 00040 allow icmp from 10.0.0.0/24 to any via igb0 icmptypes 0,8 00041 allow icmp from 10.0.1.0/24 to any via igb0 icmptypes 0,8 00042 allow icmp from 10.0.2.0/24 to any via igb0 icmptypes 0,8 00043 allow icmp from 10.0.3.0/24 to any via igb0 icmptypes 0,8 00044 allow icmp from 10.0.4.0/24 to any via igb0 icmptypes 0,8 00045 allow icmp from 10.0.5.0/24 to any via igb0 icmptypes 0,8 00046 allow icmp from 10.0.6.0/24 to any via igb0 icmptypes 0,8 #Попытка пропускать VPN-трафик 00051 allow tcp from any to me dst-port 1723 setup 00052 allow tcp from me to any dst-port 1723 setup 00053 allow gre from me to any 00054 allow gre from any to me 00059 deny log logamount 100 icmp from any to any frag 00060 allow icmp from any to any via igb1 00070 deny log logamount 100 ip from any to 127.0.0.0/8 00080 deny log logamount 100 ip from 127.0.0.0/8 to any 00100 allow ip from any to any via lo0 #Правила для авторизатора 00299 allow udp from any 8888 to 192.168.0.0/24 dst-port 8888 via igb0 00300 allow udp from any 8888 to 10.0.0.0/24 dst-port 8888 via igb0 00301 allow udp from any 8888 to 10.0.1.0/24 dst-port 8888 via igb0 00302 allow udp from any 8888 to 10.0.2.0/24 dst-port 8888 via igb0 00303 allow udp from any 8888 to 10.0.3.0/24 dst-port 8888 via igb0 00304 allow udp from any 8888 to 10.0.4.0/24 dst-port 8888 via igb0 00305 allow udp from any 8888 to 10.0.5.0/24 dst-port 8888 via igb0 00306 allow udp from any 8888 to 10.0.6.0/24 dst-port 8888 via igb0 #Правила для конфигуратора 00314 allow tcp from 10.0.0.10 5555 to 10.0.1.2 via igb0 00315 allow tcp from 10.0.1.2 to 10.0.0.10 dst-port 5555 via igb0 00320 allow tcp from 10.0.0.10 5555 to 10.0.1.5 via igb0 00321 allow tcp from 10.0.1.5 to 10.0.0.10 dst-port 5555 via igb0 00322 allow tcp from 10.0.0.10 5555 to 10.0.2.5 via igb0 00323 allow tcp from 10.0.2.5 to 10.0.0.10 dst-port 5555 via igb0 00324 allow tcp from 10.0.0.10 5555 to 10.0.3.5 via igb0 00325 allow tcp from 10.0.3.5 to 10.0.0.10 dst-port 5555 via igb0 #Разрешить подсетям ходит на внутренний WEB-сервер без подключения к Инету 00400 allow tcp from me 80 to 10.0.0.0/24 00410 allow tcp from 10.0.0.0/24 to me dst-port 80 00420 allow tcp from me 80 to 10.0.1.0/24 00430 allow tcp from 10.0.1.0/24 to me dst-port 80 00440 allow tcp from me 80 to 10.0.2.0/24 00450 allow tcp from 10.0.2.0/24 to me dst-port 80 00460 allow tcp from me 80 to 10.0.3.0/24 00470 allow tcp from 10.0.3.0/24 to me dst-port 80 00480 allow tcp from me 80 to 10.0.4.0/24 00480 allow tcp from me 80 to 10.0.5.0/24 00480 allow tcp from me 80 to 10.0.6.0/24 00490 allow tcp from 10.0.4.0/24 to me dst-port 80 00490 allow tcp from 10.0.5.0/24 to me dst-port 80 00490 allow tcp from 10.0.6.0/24 to me dst-port 80 #Счётчик для графиков 00500 count ip from any to any out via igb0 00510 count ip from any to any in via igb0 00520 count ip from any to any via igb0 00600 count ip from 10.0.0.0/8 to any out via igb0 00610 count ip from 172.16.0.0/12 to any out via igb0 00620 count ip from 192.168.0.0/24 to any out via igb0 00630 count ip from 91.201.176.0/22 to any out via igb0 00700 count ip from any to 10.0.0.0/8 in via igb0 00710 count ip from any to 172.16.0.0/12 in via igb0 00720 count ip from any to 192.168.0.0/24 in via igb0 00750 count ip from any to 192.168.0.10 via igb0 00751 count ip from 192.168.0.10 to any via igb0 00760 count ip from 10.0.0.0/8 to 192.168.0.10 via igb0 00761 count ip from 172.16.0.0/12 to 192.168.0.10 via igb0 00762 count ip from 192.168.0.0/24 to 192.168.0.10 via igb0 00770 count ip from 192.168.0.10 to 10.0.0.0/8 via igb0 00771 count ip from 192.168.0.10 to 172.16.0.0/12 via igb0 00772 count ip from 192.168.0.10 to 192.168.0.0/24 via igb0 00773 count ip from 192.168.0.10 to 91.201.176.0/22 via igb0 #разрешить DNS для подсетей, даже если Нет доступа в Инет 19040 allow udp from 10.0.0.0/24 to any dst-port 53 via igb0 19049 allow udp from any 53 to 192.168.0.0/24 via igb0 19050 allow udp from any 53 to 10.0.0.0/24 via igb0 19051 allow udp from any 53 to 10.0.1.0/24 via igb0 19052 allow udp from any 53 to 10.0.2.0/24 via igb0 19053 allow udp from any 53 to 10.0.3.0/24 via igb0 19054 allow udp from any 53 to 10.0.4.0/24 via igb0 19055 allow udp from any 53 to 10.0.5.0/24 via igb0 19056 allow udp from any 53 to 10.0.6.0/24 via igb0 19056 allow udp from any 53 to 192.168.0.0/24 via igb0 #Правила для юзеров 29008 allow icmp from 10.0.1.56 to any icmptypes 0,3,4,11,12 29009 pipe 29001 ip from any to 10.0.1.56 via igb0 29010 pipe 29002 ip from 10.0.1.56 to any via igb0 #Правила для юзеров 50020 deny log logamount 100 ip from 10.0.0.0/24 to 10.0.0.10 via igb0 50021 deny log logamount 100 ip from 192.168.10.0/24 to 192.168.20.1 via igb0 50022 deny log logamount 100 ip from 192.168.10.0/24 to 192.168.30.1 via igb0 50029 allow tcp from any to any out via igb1 setup 50030 allow tcp from any to any via igb1 established 50031 allow udp from any to any out via igb1 50032 allow udp from any to any in recv igb1 65534 deny log logamount 100 ip from any to any 65535 deny ip from any to any alex_o, andryas - спасибо за помощь, попробую как только смогу. Попробовал, к сожалению не помогло.

Ок. Куда тогда ещё копнуть по поводу высокого interrupt? Правил ipfw порядка 900, есть шейп юзеров. Трансляция и проброс ip делает pf. И что посоветуете на счёт драйвера?

Сделал ifconfig igb0 polling, но по повторному ifconfig никаких изменений в конфигурации сетевой не появилось (нет подтверждения что polling включён). Попробовал прописать настройки в rc.onf и ребутнулся - никого. На "реалтеках" писалось про polling, теперь на "Intel® ET" - нет. Это нормально?

Подскажите пожалуйста как это сделать на FreeBSD? Драйвер к сетевой не ставил. Просто вытащил старые, эту ткнул в материнку, поправил конфиги и стартанул сервер. Это имеет значение? Если да - где взять cвежий драйвер? Поискал в Инете, на официальном сайте Intel есть только для FreeBSD 7, а у меня 8.1.

Ткнул.

Привезли сегодня двухголовый Intel. Поставил. Сейчас общий трафик порядка 10Мбит, 1500pps. Прописал: sysctl net.inet.ip.fastforwarding=1 Завтра ещё вечером при большом трафике посмотрю, но кажется - дело табак. Картинка вот такая (top -HSP 10).

Почитайте форум, воспользуйтесь поиском. 100500 раз уже поднимали вопрос. Тут уже устали от таких вопросов, правда, разжевали уже всё. Или работаете сами, но организуете какое-нить ООО, набираете штат, получаете лицензии, или договариваетесь и работаете под чьими-то лицензиями и являетесь, как выше сказали, админом.

alex_o, У нас, блин, сколько я тут живу - всю жизнь переходный период. И отец мой жил при переходном и дед - всю, Бл#, дорогу что-то строим и совершествуем, от студенчества и до пенсии! Может строим не то или не так, хез. Только почему-то мы строим тут, а появляется всё не там где-то, а за забором. Только край Великого счастья заблестел - снова прикатили медный таз и накрыли сияние. То закрасят, то грязью замажут. Ну не разгорится никак и всё! Как можно говорить о нормальном рынке в стране, где нет уверенности в завтра, где можно из года в год набивать себе карманы, гнать пургу с экрана и при этом быть "уважаемым человеком"? Переходный, говорите? Ну да, те кто украл/отобрал и теперь с капиталлом - станут "серьёзными Ethernet-операторами", "производителями каких-то товаров", "предоставителями каких-то услуг"... Но я сильно сомневаюсь, что теперешняя Украина готова к тому, что Вы наблюдаете у себя дома. Дай Вам Бог здоровья и процветания той стране, в которой сейчас живёте. Ибо похоже там давно взялись за голову и навели порядок. У нас такая схема никому неинтересна, к сожалению. Просто потому, что интерес участвующих в процессе - разнится с благими намерениями на бумаге.

Не могу с этим не согласиться. Как только я увижу что мои свершения не годятся - конечно буду думать о другом варианте.

Модуль ввода логина/пасса писал не я, но судя по коду там такая проверка стоит. Шо? Я не собираюсь это продавать, я для себя пишу, просто для удобства. Или речь он надёжности? За комментарии большое спасибо. Я так понял особо бояться нечего.

Привет всем. Задумался над написанием приблуды в виде статистики для юзера. Была мысль, по совету уважаемого madf, собирать статистику для юзеров посредством скрипта СТГ - OnChange. Статистика после некой текстовой обработки должна приводится в удобочитаемый вид и накопительно ложиться в текстовый файлик в соответствующей папке юзера. А потом по его запросу с личной странички - ему показываться. ...и додумался я до того, что начинаю опасаться за безопасность данных. Например такая конструкция: //Начальные установки - читаем конфиги $krn = "/var/stargazer/users/"; $pathc .= $krn .$login ."/conf"; $paths .= $krn .$login ."/stat"; $confpath = file($pathc); $statpath = file($paths); include('/var/stargazer/wm/wm.conf'); // Остаток средств на счету $pr = $statpath[0]; $cash = explode("=",$pr); Как видите чтение данных происходит напрямую из конфигурационных файлов юзеров, разрешения на которые, скажем, 755. Поскольку я вовсе не программер и вряд ли им стану когда-то, хотелось бы узнать мнение сведущих людей насколько опасен такой способ обработки данных. Только не надо страшилок, прошу придерживаться реалий.

А не, у меня проц грузится макс на 5%, у меня просто interrupt зашкаливает. Вот сейчас например нагрузка по трафику невысокая, а такая фигня. Простите, это проблема СТГ или системы в целом? Например фаерволла? Я о загрузке процессора, не о своём случае.

Точно такая же хрень - вырастают пинги (иногда с 1 до 70) при трафике всего-то 50/30Мбит и менее 5000pps. Стоят две дешёвые сетевушки на дешёвой десктопной материнке с простеньким двухядерным целерончиком. interrupt 40-55%, в такие моменты наблюдается даже дроп пакетов. Пока надеюсь на сетевую от Intel, а то может и материнку придётся сменить. Ось FreBSD 8.1 релиз.

Да не, в скрипте надо всё это фильтровать сразу конечно и в свой лог писать что-то красивое, с вставками русскими символами, чтоб потом можно было в php его показать. Т.е. из стоки Disconnect, session upload: '2634424,0,0,0,0,0,0,0,0,0' session download: '27476922,0,0,0,0,0,0,0,0,0' month upload: '162697519,0,0,0,0,0,0,0,0,0' month download: '1673652901,0,0,0,0,0,0,0,0,0' cash: '13.6452' вырезать всё лишнее, взяв только целые числа и сформировать читабельную строку, добавив русские комменты. Думаю возможно, но пока не вижу зачем юзеру на безлиме всё расписывать. А у меня в основном безлимы.

Ну это понятно, но там пишется всё подряд. Это значит что можно добавить в OnChange скрипт на проверку обработки, скажем, данных по пополнениям и писать интересующие нас данные в файлик, так? Т.е. формировать готовый отчёт по конкретному юзеру или в общем по пополнениям, не заморачиваясь с обработкой /var/log/stargazer.log и вооще от него независеть. Надо попробовать.

Т.е. сунуть туда скрипт, делающий накопление данных в каком-то файле для конкретного юзера, например? Я так понимаю именно эти данные СТГ дублирует в /var/log/stargazer.log и лог-файл юзеров?

Да простым скриптом из файла /var/log/stargazer.log можно вытащить такие данные. Вот только поскольку он постоянно растёт - неплохо бы перекидывать данные в отдельный файлик и работать уже с ним, иногда дополняя. Сам stargazer.log можно обнулять время от времени, резервируя перед этим в архив. Например у меня вот так реализован поиск пополнений Инета и формирование странички в виде списка (пополняют все посредством модуля кассира для СТГ, тут на форуме он есть). Для юзеров это можно сделать аналогично. #!/bin/sh users=`grep 'happy' /var/log/stargazer.log | cut -d" " -f1,2,8,13,15` echo "$users" > /usr/local/www/happy/happy.txt a=`grep -c "" /usr/local/www/happy/happy.txt` a=`expr $a + 0` echo .... $a f=0 echo "<?hph" > /usr/local/www/happy/happy.php echo "?>" >> /usr/local/www/happy/happy.php echo "<a href=\"http://10.0.0.10/happy/stathappy.php\">Статистика пополнений</a><br><br>" >> /usr/local/www/happy/happy.php echo "<u>HAPPY - Текущие пополнения</u><br><br>" >> /usr/local/www/happy/happy.php while expr $a \> 0 do b=`awk NR==$a /usr/local/www/happy/happy.txt` c=`echo $b|cut -d" " -f4 | cut -d"'" -f2` d=`echo $b|cut -d" " -f5 | cut -d"'" -f2` user2=`echo $b|cut -d" " -f1-3` e=`echo "$d - $c"|bc -l` f=`echo "$f + $e"|bc -l` x=`echo "$e" | cut -d"." -f1` z=`echo "$e" | cut -d"." -f2 | cut -c1-2` echo $user2 $x"."$z"<br>" >> /usr/local/www/happy/happy.php a=$(($a - 1)) g=$(($g + 1)) done x=`echo $f | cut -d"." -f1` z=`echo $f | cut -d"." -f2 | cut -c1-2` echo "<br>Итого: <b>"$x"."$z"</b><br><br>" >> /usr/local/www/happy/happy.php rm -R /usr/local/www/happy/happy.txt exit Результат работы: Писал давно и на скорую руку, так что прошу не пинать. Второй скрипт, скидывающий текущие пополнения в архивный список не привожу, но думаю и так ясно.

Team Speak, Speakerphone, SeCHat, NetVoice.

Кстати, вопрос в догонку, кто-нить как-то реализовал автоматический анализ статистики по кол-ву пакетов в сек. для юзеров? Полезная штука, думаю раз 15 минут запускать такое, чтоб анализировать потом. Может ещё допишу статистику по каждому юзеру, хотя б на шелле. Бо вчера наткнулся на абона, у которого 1200 сессий в обе стороны. Это при том, что вся сеть скопом и на 5000 не тянет. Хотелось бы знать своих "героев", на сякий случай. P.S. Доброжелателям просьба не беспокоиться, я и раньше знал за этого абона.

Авторизатор может работать из-за роутера. При этом если одна из машин авторизируется на сервере, то для всех ПК в домашней сетке за роутером открывается Инет, сервер видит их как 1 ПК. Но в этом нет необходимости, если в СТГ ставим режим "всегда онлайн" на этот адрес и вуаля. Авторизатор при этом не используется вообще. При этом роутеру присваиваивается адрес сети (например 10.0.1.10 для ИФ WAN), а на внутреннем ИФ роутера висит сколько угодно машин (все LAN с адресацией типа 192.168.1.10). У меня человек 10 в сети так живут со своими роутерами и домашними ПК. Конечно надо поглядывать сколько они трафика гоняют и кол-во сессий. Используются роутеры типа D-Link DIR-300, DIR-320 и т.д. Т.е. практически любой ширпотребовский.

Цирк.

Маразм. Сделайте у себя услугу "скорость по запросу" и не морочьте голову. Например через личную страничку. У меня юзеры одобрили.

По-моему у меня было такое на релизе FreeBSD 8.1. Сыпало в первую консоль сплошным потоком. Пропатчил и сие ушло. Патч нашёл по Гуглю.