kvirtu

Так оно по дефолту в GENERIC, куда ты по необходимости добавляешь что-то свое. Ээээ... Что еще с ядра выкинуто? ядро

спасибо, ZуXEL, за наводку по клавиатуре. Оказывается надо собрать ядро с поддержкой uhci , хоия клава ps/2.

это уже похоже на тенденцию для фря 10.1 та да, придется сервак тестовый на 9.3 пробовать

пытался, на 10.1 амд64 - не идет, висяк. Поставь 9.3. спс, буду пробовать, еще попробую, 9.3 амд64

пытался, на 10.1 амд64 - не идет, висяк.

Т.е. накидываем мусора и проблема исчезает? А без мусора раз и вылет или как? Буфера ведь не от количества дополнительных правил появляются. выходит как-то

у меня net.inet.ip.fw.dyn_max: 4096 net.inet.ip.fw.dyn_count: 265 netstat -m 772/1028/1800 mbufs in use (current/cache/total) 770/520/1290/262144 mbuf clusters in use (current/cache/total/max) 770/510 mbuf+clusters out of packet secondary zone in use (current/cache) 0/54/54/66048 4k (page size) jumbo clusters in use (current/cache/total/max) 0/44/44/33024 9k jumbo clusters in use (current/cache/total/max) 0/35/35/16512 16k jumbo clusters in use (current/cache/total/max) 1733K/2469K/4202K bytes allocated to network (current/cache/total) 0/0/0 requests for mbufs denied (mbufs/clusters/

блин, я ж пробовал урезать до минимума - и сразу бац: No buffer space available объясните тогда почему пр минимальном наборе правил - No buffer space available

вернулся к своему исходному фаерволу - No buffer space available - больше не появляються

Єта переменная: # maximize if ngctl not enough space) (i386) kern.ipc.maxpipekva=256000009 уложила сервак . Даже в синг-юзер не грузилось. Благо был под рукой 10.1 , с него грузился , при монтировал 7.2 , а там ее удалил.

ясно, прописал значения переменніх sysctl как рекомендовано на сайте Абилса. (до этого вообще убрал все из sysctl&loader.conf) В фаере только NAT&шейпер придется ребутнутся - там часть переменных только при загрузке системы меняются.

не понял ?

Хочу так сделать: ngctl: recv msg: No buffer space available Есть некоторые моменты, которые следует учесть, если ваш сервер имеет большое количество соединений. Например, можно столкнуться с ситуацией, когда при выводе комманды ngctl list будет выдававаться No buffer space available. Чтобы этого избежать следует добавить в /boot/loader.conf: kern.ipc.nmbclusters=16384kern.ipc.maxsockets=16384 net.graph.maxalloc=2048 kern.maxusers=512 kern.ipc.maxpipekva=32000000 в /etc/sysctl.conf: net.graph.maxdgram=128000net.graph.recvspace=128000

сейчас упал: No buffer space available

в фаере сейчас оставил только NAT&шейпер

опять

не еще, а како именно 30. которое ? 00030 check-state

попробовал сегодня 10.1 на новом желез HP G5 (это было в последний раз) - кирпич через 45 минут работы. Сначала отвалился инет, потом сетевые, через 30 секунд и консоль.

поменял на HP G5 Xeon x3075 + igb сетевые: будем наблюдать

поехал менять железо

Зачем?antispoof работает только для обслуживаемых сеток - аплинк и абоненты. И что там по udp подменять - днс? verrevpath - тоже крайне сомнительно. в итоге - +2 правила. вух, Таки ДА, отключай шейпера от абилса - все стабилизируется

Забыть их на транзитных роутерах да еще и с натом. удалить ?

спс, добавил ${fwcmd} add 20 deny log ip from any to any not verrevpath in ${fwcmd} add 21 deny log ip from any to any not antispoof in а что делать с правилами check-state ?

если не ... продублируйте , плиз я на сегодня спекся ... Всем спокойно ночи .

Все в которых встречается слово state и предпоследнее (глобальный deny). Добавить те, что я ранее писал. Они хорошо отфильтруют мусор и не нагрузят зря систему. Как то я пропустил мимо о, что это же НАТ для такой тучи клиентов и весь он через состояния к тому-же крутится. Если, эти ? то уже работают . ${fwcmd} add 50 allow ip from any to any via bge1 // sam k sebe ${fwcmd} add 50 allow tcp from 10.128.10.0/24 to me dst-port 80 in recv bge1 // localka k nashemu www ${fwcmd} add 50 allow udp from 10.128.10.0/24 to me dst-port 53 in recv bge1 // localka v nash DNS ${fwcmd} add 50 ski