kvirtu

не понял ?

Хочу так сделать: ngctl: recv msg: No buffer space available Есть некоторые моменты, которые следует учесть, если ваш сервер имеет большое количество соединений. Например, можно столкнуться с ситуацией, когда при выводе комманды ngctl list будет выдававаться No buffer space available. Чтобы этого избежать следует добавить в /boot/loader.conf: kern.ipc.nmbclusters=16384kern.ipc.maxsockets=16384 net.graph.maxalloc=2048 kern.maxusers=512 kern.ipc.maxpipekva=32000000 в /etc/sysctl.conf: net.graph.maxdgram=128000net.graph.recvspace=128000

сейчас упал: No buffer space available

в фаере сейчас оставил только NAT&шейпер

опять

не еще, а како именно 30. которое ? 00030 check-state

попробовал сегодня 10.1 на новом желез HP G5 (это было в последний раз) - кирпич через 45 минут работы. Сначала отвалился инет, потом сетевые, через 30 секунд и консоль.

поменял на HP G5 Xeon x3075 + igb сетевые: будем наблюдать

поехал менять железо

Зачем?antispoof работает только для обслуживаемых сеток - аплинк и абоненты. И что там по udp подменять - днс? verrevpath - тоже крайне сомнительно. в итоге - +2 правила. вух, Таки ДА, отключай шейпера от абилса - все стабилизируется

Забыть их на транзитных роутерах да еще и с натом. удалить ?

спс, добавил ${fwcmd} add 20 deny log ip from any to any not verrevpath in ${fwcmd} add 21 deny log ip from any to any not antispoof in а что делать с правилами check-state ?

если не ... продублируйте , плиз я на сегодня спекся ... Всем спокойно ночи .

Все в которых встречается слово state и предпоследнее (глобальный deny). Добавить те, что я ранее писал. Они хорошо отфильтруют мусор и не нагрузят зря систему. Как то я пропустил мимо о, что это же НАТ для такой тучи клиентов и весь он через состояния к тому-же крутится. Если, эти ? то уже работают . ${fwcmd} add 50 allow ip from any to any via bge1 // sam k sebe ${fwcmd} add 50 allow tcp from 10.128.10.0/24 to me dst-port 80 in recv bge1 // localka k nashemu www ${fwcmd} add 50 allow udp from 10.128.10.0/24 to me dst-port 53 in recv bge1 // localka v nash DNS ${fwcmd} add 50 skipto 51 ip from 172.16.20.0/24 to any in recv bge1 // PPPoE idet dalshe ${fwcmd} add 50 deny ip from any to any in recv bge1 // ostalnoe rezhem Подразумевается что где-то после шейпера и ната присутствует: allow ip from me to any правило 65534 - удалил

Все в которых встречается слово state и предпоследнее (глобальный deny). Добавить те, что я ранее писал. Они хорошо отфильтруют мусор и не нагрузят зря систему. Как то я пропустил мимо о, что это же НАТ для такой тучи клиентов и весь он через состояния к тому-же крутится. понял, спс

про поллинг я понял, подскажите, плиз, правила, которые нафиг нужно снести ?

А если kern.polling.idle_poll выключить? Вообще почитайте ман по поллингу, там много можно тюнить. HZ стоит 1000? kern.polling.idle_poll: 0 , в ядре есть HZ стоит 1000?

не успел применить )

ну пока так , снимаю шейпера на время, инет хоть медленный , но есть. А с пиками нагрузки - капец. swi1: net - сетевая подсистема

опять скачек, но уже : 89.36% irq19: bge0 swi1: net - по нулям если включаю пoллинг на bge0 - swi1 сразу растет

netstat -I em0 1 спс, darnet# netstat -I bge0 1 input (bge0) output packets errs bytes packets errs bytes colls 8943 0 9780850 7157 0 1631046 0 8864 0 9924808 7208 0 1675551 0 8898 0 9900556 7300 0 1765175 0 8893 0 9925607 7259 0 1632690 0 8689 0 9927364 6850 0 1408574 0 8443 0 9822659 6773 0 1077309 0 8664 0 9897899 7050 0 1438687 0 8817 0 9892737 7300 0 1726726 0 8822 0 9950047 7286 0 1776067 0 8930 0 9870696 7510 0 1835218 0 8503 0 9707254 6854 0 1215428 0 8734 0 9927151 7194 0 1425545 0 8804 0 9926770 7191 0 1640257 0 9070 0 9934651 7508 0 1761250 0 8664 0 9824857 7063 0 1522831 0 Для старта, потом повторно ipfw list, ipfw show: Для чего нужны 09970, 09975, 09980, 09985, 10120-10235? Там тоже по нулям. Если не нужны - удалить, нефиг зря нагружать проц. спс, щас удалю

вот сейчас: онлайн - 130 , траффик под 80 Мбит - все норм. Подскажите как смотреть pps ?

тільки для початку kldload pmc здається так повинно бути kldload: can't load pmc: No such file or directory так вибачаюсь, hwpmc, але гугл могли і ви відкрити та я одним глазом на форум, вторым на консоли сервака. пришло железо, завтра утром буду менять - отпишусь Ждём... cats_05.gif а чего сразу драма ? Та не обращайте внимание, то первое что нашел с попкорном))) Просто интересно чем оно всё закончится. Если надоест скажете, помогу с абиллсом на линуксе. , победами за нами

если net.inet.ip.fw.one_pass=1, то просмотр правил ipfw прекращается сразу после подпадание под queue или pipe правило. Если 0, то продолжается обработка далее идущих правил. Т.е. у вас весь файрвол после шейпера коту под хвост А хотя не факт - у вас же ng_car, не гуглил следует ли он этой политике. правило 65534 - работает

hwpmc.ko - есть в /boot/kernel , а грузится не хочет