kvirtu

заметил, что нагрузка растет когда в логи сыплет, к примеру такое хотя этих юзверы, к инету не подключены ?

Это Админ ?

Вот тут интересно - глазками анализировали этот логгинг? Есть предположение что в это правило попадает слишком много траффика и логируя весь этот мусор мы дико тормозим вход, в результате чего система тупо виснет. Лог в глобальных местах нужен на момент внедрения - недельку понаблюдать и сделать уточнения в правилах. новые правила тока сегодня утром "внедрил" ну пока в логи пишется ничтожно мало инфы, последняя запись в 11:48 на 20 строчек и то по правилу 103: DENY ICMP:5.1 пока все в штатном режиме, 0.00% swi1: net , 34.89% irq19: bge0

пока переделал правила ipfw ipfw.conf

це netisr, поставити нормальні мережеві і вирубити його нафіг, і дамп той що був - fault через netisr. netisr - щас буду гуглить как вырубить

канала точно хватает, загрузка может вырасти внезпно, даже при 40 Мбитах.

как только загрузка swi1: net снижается до 20 %, все нормализуется.

dummynet 0 % , c включенным поллингом - сетевые не грузят, а вот 100.00% swi1: net

Т.е. весь ресурс в тот момент именно дамминет отъедал? Не прерывания как раньше? Если дамминет все проще - есть куда рыть. В конце концов - использовать ng car вместо него. Хотя уверен что там что-то криво сетапится. Кинь пример правил для создания пайпов и заворачивания в них траффика. 100.00% swi1: net shaper_start.sh

Не-не - dummynet это шейпер, nat - совсем другое. И у первого и у второго свои закидоны. У меня что первое, что второе делают cisco. Лет 10 назад настроил и забыл. понял, ну прикрутил я даминет к ядру 0 - не помогло

не использую даминет (kernel nat) . Да и дело не в нем. в момент пика нагрузки 1 % даминета Только что опять за 16 сек load aver выросла до 6 ! . Ни поллинг, ни отключение шейперов не помогло. Сделал ребут до этого все работало как часики !

подскажи что мониторить ? где копать ? С меня на пиво

вечером опять начались траблы, попробовал команду, помогало на 5-6 минут. Нашел на сайте muff.kiev.ua , скриптик: #!/bin/shAWK=/usr/bin/awkCPUSET=/usr/bin/cpusetGREP=/usr/bin/grepPROCSTAT=/usr/bin/procstatPROCESS=dummynetTID=`$PROCSTAT -at | $GREP $PROCESS |$AWK '"/$PROCESS/" {print $2}'`$CPUSET -l 0 -t $TID Или совпало но, после его запуска нагрузка ушла

0.56

keep-state не потрібен для udp. убрал

Правила шейпера создает скрипт shaper_start.sh , ver 6.07 (abills)

по ходу у меня кривой фаевол, поправьте плиз: #!/bin/sh # fwcmd='/sbin/ipfw -q' # ${fwcmd} -f flush ${fwcmd} -f queue flush ${fwcmd} -f pipe flush # ${fwcmd} add 50 fwd 10.128.10.1 tcp from 172.16.30.0/24 to any #loopback ${fwcmd} add 100 pass all from any to any via lo0 ${fwcmd} add 110 deny all from any to 127.0.0.0/8 ${fwcmd} add 120 deny ip from 127.0.0.0/8 to any # ${fwcmd} add 130 check-state #drop icmp ${fwcmd} add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 # #Mail Deny ${fwcmd} add 220 deny tcp from 10.128.10.0/24 to any 25 ${fwcmd} add 221 deny tcp from 172.16.20.0/24 to any 25 #External interface Netbios BLOCK ${fwcmd} add 300 deny udp from any 135-139 to any via bge0 # netbios низя ${fwcmd} add 305 deny tcp from any 135-139,445 to any via bge0 # netbios низя ${fwcmd} add 310 deny udp from any to any 135-139 via bge0 # netbios низя ${fwcmd} add 315 deny tcp from any to any 135-139,445 via bge0 # netbios #Internal interface Netbios BLOCK ${fwcmd} add 400 deny udp from any 135-139 to any via bge1 # netbios низя ${fwcmd} add 405 deny tcp from any 135-139,445 to any via bge1 # netbios низя ${fwcmd} add 410 deny udp from any to any 135-139 via bge1 # netbios низя ${fwcmd} add 415 deny tcp from any to any 135-139,445 via bge1 # netbios #NAT ${fwcmd} nat 1 config ip 193.109.129.18 log same_ports ${fwcmd} add 65030 nat 1 ip from 172.16.20.0/23 to any ${fwcmd} add 65040 nat 1 ip from any to 193.109.129.18 #Real_IP ##${fwcmd} add 65050 allow ip from 194.79.21.190 to any ##${fwcmd} add 65051 allow ip from any to 194.79.21.190 ### # Allow TCP through if setup succeeded ${fwcmd} 65100 add pass tcp from any to any established # Allow IP fragments to pass through ${fwcmd} 65110 add pass all from any to any frag # Allow access to our DNS ${fwcmd} 65130 add pass tcp from any to me 53 setup ${fwcmd} 65135 add pass tcp from me to any 53 setup ${fwcmd} 65140 add pass udp from any to me 53 ${fwcmd} 65150 add pass udp from me 53 to any # Allow ports from outside ${fwcmd} 65200 add pass tcp from any to me 53,80,3301 setup ##${fwcmd} 65210 add pass udp from any to me 27015 setup # Reject&Log all setup of incoming connections from the outside ${fwcmd} 65250 add deny log tcp from any to any in via bge0 setup # Allow setup of any other TCP connection ${fwcmd} 65300 add pass tcp from any to any setup # Allow DNS queries out in the world ${fwcmd} 65400 add pass udp from me to any 53 keep-state # ##${ipfw} add 65535 allow all from any to any

45 минут назад упала система в кору: помогите расшифровать: Unread portion of the kernel message buffer: Fatal trap 12: page fault while in kernel mode cpuid = 1; apic id = 01 fault virtual address = 0xc fault code = supervisor write, page not present instruction pointer = 0x20:0xc04a2f14 stack pointer = 0x28:0xc4f64c04 frame pointer = 0x28:0xc4f64c40 code segment = base 0x0, limit 0xfffff, type 0x1b = DPL 0, pres 1, def32 1, gran 1 processor eflags = interrupt enabled, resume, IOPL = 0 current process = 13 (swi1: net) trap number = 12 panic: page fault cpuid = 1 Uptime: 2h43m21s Physical memory: 2004 MB Dumping 120 MB: 105 89 73 57 41 25 9 Reading symbols from /boot/kernel/acpi.ko...Reading symbols from /boot/kernel/acpi.ko.symbols...done. done. Loaded symbols for /boot/kernel/acpi.ko #0 doadump () at pcpu.h:196 196 __asm __volatile("movl %%fs:0,%0" : "=r" (td)); Ready to go. Enter 'tr' to connect to the remote target with /dev/cuad0, 'tr /dev/cuad1' to connect to a different port or 'trf portno' to connect to the remote target with the firewire interface. portno defaults to 5556. Type 'getsyms' after connection to load kld symbols. If you're debugging a local system, you can use 'kldsyms' instead to load the kld symbols. That's a less obnoxious interface.

так он не грузит систему ?

Шейпера ложат сетевуху, отключаю шейпера - все стабилизируется. через 2-3 минуты включил шейпера - нормально. Не пойму Нормально, нормально , потом резко Нагрузка растет резко до 100 %

Вот сейчас возле сервака, был момент резкого скачка нагрузки на bge0 до 100 %, потом моргает свет , у нас вілетает один из свичей, поменяли. Сейчас пока все нормально. Заметил, в моменты нагрузки один из клиентских компов ломиться на сервак, в частности на апач. Может флуд все загаживает ?

такую Intel EXPI9402PT ?

если есть mpd, то смотри /usr/local/etc/mpd/mpd.conf

Всем спасибо ! Помогли найти причину, НАДО менять железо , как минимум, сетевые. Сейчас поеду менять на bge (других пока нет). Буду заказывать igb. Подскажите "правильный" тюнинг сетевой подситемы, что бы сгладить ПОКА скачки нагрузки. Спасибо. ПЫ.СЫ. Вырос я из штанишек и не заметил ....

спс, завтра если что отпишусь