kvirtu

http://abills.net.ua/wiki/doku.php/abills:docs:manual:ng_car я знаю что такое ng_car. Я о том что : Почему в листинге ipfw show что выше я не вижу правил номер: 10000, 10010, 10020, 10025, 60010 и 01020. Они хоть и динамически, но добавляются и в живом листинге обязаны присутствовать. Я однако, в тот момент шейпера выключил. вот:

сочувствую, у меня держался до часа

Может я и ошибась, но меня вроде досят из сетки. Вот сейчас все нормально: сессой онлайн более 100 , траффик примерно 60 Мбит, в /var/log/security - ничего не сыпется. Как только в логи сыпется из локалки : Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.86:1339 91.196.7.46:61818 in via bge1 Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.86:1300 46.254.16.107:80 in via bge1 Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.127:51326 87.240.131.120:443 in via bge1 Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.86:1340 92.52.187.70:11577

http://abills.net.ua/wiki/doku.php/abills:docs:manual:ng_car

у меня же все в таблицах + ng_car Global shaper 10000 netgraph tablearg ip from table(10) to any in recv ng* 10010 netgraph tablearg ip from any to table(11) out xmit ng* 10020 allow ip from table(9) to any in recv ng* 10025 allow ip from any to table(9) out xmit ng* ABillS NAT start NAT start ipfw nat 21 config ip х.х.х.х log 60010 nat tablearg ip from table(34) to any via bge0 01020 nat tablearg ip from any to table(33) via bge0 in

млять , ipfw pipe show - пусто

шейпер , как только включаю его, swi1 - сразу по 100. И это при включенном поллинге на сетевых Ну, покажите еще ipfw show и ipfw pipe show в пиках. Может еще на какие мысли натолкнет. шейпер сейчас выключен. ipfw show

спс, заказал сетевые igb - будут затвра+поменяю сам сервак.

В общем: загибается под шейпер , как только включаю его, swi1 - сразу по 100. И это при включенном поллинге на сетевых

все удалил, отставил только НАТ: darnet# ipfw list 00010 allow ip from any to any via lo0 00015 deny ip from any to 127.0.0.0/8 00020 deny ip from 127.0.0.0/8 to any 65060 nat 1 ip from any to any via bge0 65061 allow ip from 172.16.20.0/23 to any 65062 allow ip from any to 172.16.20.0/23 65535 allow ip from any to any не помогает

ipfw: 65534 убрал, не помогло (

заметил, что нагрузка растет когда в логи сыплет, к примеру такое хотя этих юзверы, к инету не подключены ?

Это Админ ?

Вот тут интересно - глазками анализировали этот логгинг? Есть предположение что в это правило попадает слишком много траффика и логируя весь этот мусор мы дико тормозим вход, в результате чего система тупо виснет. Лог в глобальных местах нужен на момент внедрения - недельку понаблюдать и сделать уточнения в правилах. новые правила тока сегодня утром "внедрил" ну пока в логи пишется ничтожно мало инфы, последняя запись в 11:48 на 20 строчек и то по правилу 103: DENY ICMP:5.1 пока все в штатном режиме, 0.00% swi1: net , 34.89% irq19: bge0

пока переделал правила ipfw ipfw.conf

це netisr, поставити нормальні мережеві і вирубити його нафіг, і дамп той що був - fault через netisr. netisr - щас буду гуглить как вырубить

канала точно хватает, загрузка может вырасти внезпно, даже при 40 Мбитах.

как только загрузка swi1: net снижается до 20 %, все нормализуется.

dummynet 0 % , c включенным поллингом - сетевые не грузят, а вот 100.00% swi1: net

Т.е. весь ресурс в тот момент именно дамминет отъедал? Не прерывания как раньше? Если дамминет все проще - есть куда рыть. В конце концов - использовать ng car вместо него. Хотя уверен что там что-то криво сетапится. Кинь пример правил для создания пайпов и заворачивания в них траффика. 100.00% swi1: net shaper_start.sh

Не-не - dummynet это шейпер, nat - совсем другое. И у первого и у второго свои закидоны. У меня что первое, что второе делают cisco. Лет 10 назад настроил и забыл. понял, ну прикрутил я даминет к ядру 0 - не помогло

не использую даминет (kernel nat) . Да и дело не в нем. в момент пика нагрузки 1 % даминета Только что опять за 16 сек load aver выросла до 6 ! . Ни поллинг, ни отключение шейперов не помогло. Сделал ребут до этого все работало как часики !

подскажи что мониторить ? где копать ? С меня на пиво

вечером опять начались траблы, попробовал команду, помогало на 5-6 минут. Нашел на сайте muff.kiev.ua , скриптик: #!/bin/shAWK=/usr/bin/awkCPUSET=/usr/bin/cpusetGREP=/usr/bin/grepPROCSTAT=/usr/bin/procstatPROCESS=dummynetTID=`$PROCSTAT -at | $GREP $PROCESS |$AWK '"/$PROCESS/" {print $2}'`$CPUSET -l 0 -t $TID Или совпало но, после его запуска нагрузка ушла

0.56