Nightly Wanderer 589 Опубліковано: 2013-03-16 19:59:50 Автор Share Опубліковано: 2013-03-16 19:59:50 А как переписать? Сейчас забили всех в адрес лист. Не помогло. Что-то есть ещё? Может вимели в виду сколько правил ната, а не вообще в фаерволе? Ссылка на сообщение Поделиться на других сайтах
sanyadnepr 305 Опубліковано: 2013-03-16 20:04:28 Share Опубліковано: 2013-03-16 20:04:28 Стучите в ЛС. Ссылка на сообщение Поделиться на других сайтах
sanyadnepr 305 Опубліковано: 2013-03-16 20:05:28 Share Опубліковано: 2013-03-16 20:05:28 (відредаговано) Имелось виду что правило должно быть на группы, а не на каждого пользователя. Відредаговано 2013-03-16 20:06:15 sanyadnepr Ссылка на сообщение Поделиться на других сайтах
Nightly Wanderer 589 Опубліковано: 2013-03-16 20:10:03 Автор Share Опубліковано: 2013-03-16 20:10:03 А как тогда разрешать/ запрещать доступ в интернет если будет на группы? Ссылка на сообщение Поделиться на других сайтах
KaYot 3 711 Опубліковано: 2013-03-16 20:16:07 Share Опубліковано: 2013-03-16 20:16:07 В linux для этого есть магическое слово 'ipset'. Как реализовать подобное в MT - думайте сами, хз. Вообще абсолютно не обязательно доступ разрешать/запрещать в фаерволе. Есть разные дизайны BRASов, в своем новом soft-IPOE я вообще фаервол не использую(2 правила на доступ к самому серверу по ssh) - а значит машина без НАТа сможет жевать десятки гигабит и миллионы PPS - жизнь одмина будет спокойной и размеренной Ссылка на сообщение Поделиться на других сайтах
andryas 1 059 Опубліковано: 2013-03-16 20:16:44 Share Опубліковано: 2013-03-16 20:16:44 (відредаговано) А как тогда разрешать/ запрещать доступ в интернет если будет на группы? Это очевидно. Создайте групу забаненых Можно также маршрутизировать его в нуль Відредаговано 2013-03-16 20:18:03 andryas Ссылка на сообщение Поделиться на других сайтах
ntil 57 Опубліковано: 2013-03-16 20:33:54 Share Опубліковано: 2013-03-16 20:33:54 (відредаговано) фаервол переписать что-бы правила были иерархичесими. сейчас у вас среднестатистически пакет проходит 900\2=450 правил. трехуровневая иерархия даст 10-30 правил. акцеслист на 900 сравнений - эквивалент цепочки из 900 правил, если поиск в ней не оптимизирован, но я такого не встречал на программных роутерах. убирите нахрен ДХЦП с трафиковых интерфейсов. ДХЦП парсит все транзитные пакеты на МАС уровне - это жрет производительность похлеще фаервола. вынесите ДХЦП на отдельный таз или хотя-бы на отдельный физический интерфейс (хотя в МТ так не катит вроде). Відредаговано 2013-03-16 20:37:44 ntil Ссылка на сообщение Поделиться на других сайтах
KaYot 3 711 Опубліковано: 2013-03-16 20:35:38 Share Опубліковано: 2013-03-16 20:35:38 фаервол переписать что-бы правила были иерархичесими. сейчас у вас среднестатистически пакет проходит 900\2=450 правил. трехуровневая иерархия даст 10-30 правил. убирите нахрен ДХЦП с трафиковых интерфейсов. ДХЦП парсит все транзитные пакеты на МАС уровне - это жрет производительность похлеще фаервола. вынесите ДХЦП на отдельный таз или хотя-бы на отдельный физический интерфейс (хотя в МТ так не катит вроде). С фига ли DHCP чего-то там парсит и жрет? Он свой порт слушает и чихать ему на трафик, пакеты, маки и т.п. Ссылка на сообщение Поделиться на других сайтах
ntil 57 Опубліковано: 2013-03-16 20:43:02 Share Опубліковано: 2013-03-16 20:43:02 (відредаговано) С фига ли DHCP чего-то там парсит и жрет? Он свой порт слушает и чихать ему на трафик, пакеты, маки и т.п "проверено электроникой" на себе - парисит на МАС уровне - что на МТ что на линуксе. подтверждено ковырятельством в сырцах. кстате наверно не спроста требуется установленная опция "reorder MAC header" на VLAN интерфейсе в линксе для корректной работы ДХЦП, правда ? МАС пакета кстате нужен для поддержки LEASE DB так-что он парсится, откуда ведь он берется? Відредаговано 2013-03-16 20:45:57 ntil Ссылка на сообщение Поделиться на других сайтах
andryas 1 059 Опубліковано: 2013-03-16 20:49:10 Share Опубліковано: 2013-03-16 20:49:10 фаервол переписать что-бы правила были иерархичесими. сейчас у вас среднестатистически пакет проходит 900\2=450 правил. трехуровневая иерархия даст 10-30 правил. убирите нахрен ДХЦП с трафиковых интерфейсов. ДХЦП парсит все транзитные пакеты на МАС уровне - это жрет производительность похлеще фаервола. вынесите ДХЦП на отдельный таз или хотя-бы на отдельный физический интерфейс (хотя в МТ так не катит вроде). С фига ли DHCP чего-то там парсит и жрет? Он свой порт слушает и чихать ему на трафик, пакеты, маки и т.п. Слухає, DHCP на окрему машину, однозначно. Ссылка на сообщение Поделиться на других сайтах
KaYot 3 711 Опубліковано: 2013-03-16 21:03:01 Share Опубліковано: 2013-03-16 21:03:01 С фига ли DHCP чего-то там парсит и жрет? Он свой порт слушает и чихать ему на трафик, пакеты, маки и т.п "проверено электроникой" на себе - парисит на МАС уровне - что на МТ что на линуксе. подтверждено ковырятельством в сырцах. кстате наверно не спроста требуется установленная опция "reorder MAC header" на VLAN интерфейсе в линксе для корректной работы ДХЦП, правда ? МАС пакета кстате нужен для поддержки LEASE DB так-что он парсится, откуда ведь он берется? Да нет, ерунда какая-то. Слушает себе сервис порт 67 на заданных интерфейсах, туда ему запросы с MACами и прилетают. И ничего оно не 'парсит' и не 'жрет'. Ссылка на сообщение Поделиться на других сайтах
andryas 1 059 Опубліковано: 2013-03-16 21:09:19 Share Опубліковано: 2013-03-16 21:09:19 С фига ли DHCP чего-то там парсит и жрет? Он свой порт слушает и чихать ему на трафик, пакеты, маки и т.п "проверено электроникой" на себе - парисит на МАС уровне - что на МТ что на линуксе. подтверждено ковырятельством в сырцах. кстате наверно не спроста требуется установленная опция "reorder MAC header" на VLAN интерфейсе в линксе для корректной работы ДХЦП, правда ? МАС пакета кстате нужен для поддержки LEASE DB так-что он парсится, откуда ведь он берется? Да нет, ерунда какая-то. Слушает себе сервис порт 67 на заданных интерфейсах, туда ему запросы с MACами и прилетают. И ничего оно не 'парсит' и не 'жрет'. Матчасть читайте. Нет никакого порта (и даже хоста), пока клиент не получил IP. Запрос на её получение широковещательный. Сначала работает 2-й уровень сети, вот поэтому DHCP сервер парсит широковещалку, которая к нему прилетает. Ссылка на сообщение Поделиться на других сайтах
ntil 57 Опубліковано: 2013-03-16 21:09:44 Share Опубліковано: 2013-03-16 21:09:44 (відредаговано) Да нет, ерунда какая-то. Слушает себе сервис порт 67 на заданных интерфейсах, туда ему запросы с MACами и прилетают. И ничего оно не 'парсит' и не 'жрет'. дорогой мой, МАС-и это совсем другой уровень OSI. сетевой стек (программный фреймворк) не передает на верхний уровень МАС адрес - в стандартном, быстром, "ядерном" исполнении. поэтому парсим RAW пакет и сокетами не пользуемся. а вот чтоб DHCP пользовал сокеты (например для обработки релееных запросов) нужно компилить iscDHCP с опцией USE_SOCKETS. срочно учите матчасть. Відредаговано 2013-03-16 21:10:54 ntil Ссылка на сообщение Поделиться на других сайтах
andryas 1 059 Опубліковано: 2013-03-16 21:11:57 Share Опубліковано: 2013-03-16 21:11:57 Но песня сейчас не о том, проблема у ТС совсем другого порядка, ибо при нормальной работе сети с разбором DHCP запросов и первый пентюх справится. Ссылка на сообщение Поделиться на других сайтах
ntil 57 Опубліковано: 2013-03-16 21:17:53 Share Опубліковано: 2013-03-16 21:17:53 (відредаговано) Но песня сейчас не о том, проблема у ТС совсем другого порядка, ибо при нормальной работе сети с разбором DHCP запросов и первый пентюх справится. прикол в том, что он разбирает на Л2 все что влетело в интерфейс - несколько сот М у топикстартера. незнаю это баг или фича ISCDHCPD. но я спецом в исходник вставлял отладочный вывод в ДХЦП по приему пакета - все попадало в парсер. и учтите - у ТС в ДХЦП 900 правл - наверное статик лизы - оно ведь с ними всеми маки сравнивает на влёте пакета. трындец! но в МТ скорее всего ISCDHCPD или его форк. я просто на эти грабли наступал. Відредаговано 2013-03-16 21:18:58 ntil Ссылка на сообщение Поделиться на других сайтах
andryas 1 059 Опубліковано: 2013-03-16 21:24:51 Share Опубліковано: 2013-03-16 21:24:51 (відредаговано) В крайнем случае, в чём проблема погасить на минутку, ради эксперемента, DHCP сервер, в момент затыка сервера, дабы исключить его из цепочки? Пускай погасит и посмотрит решило проблему или нет. Далее можно спокойно прийти к выводу, что виной всему кривописаный фаервол, через тыщу правил которого пролетает весь этот траффик. Відредаговано 2013-03-16 21:26:48 andryas Ссылка на сообщение Поделиться на других сайтах
ntil 57 Опубліковано: 2013-03-16 21:27:41 Share Опубліковано: 2013-03-16 21:27:41 согласен. ТС, попробуйте и отпишитесь плиз. Ссылка на сообщение Поделиться на других сайтах
sanyadnepr 305 Опубліковано: 2013-03-16 21:33:03 Share Опубліковано: 2013-03-16 21:33:03 согласен. ТС, попробуйте и отпишитесь плиз. У ТС "проблем" иного характера. Ссылка на сообщение Поделиться на других сайтах
ntil 57 Опубліковано: 2013-03-16 21:33:39 Share Опубліковано: 2013-03-16 21:33:39 какого? Ссылка на сообщение Поделиться на других сайтах
martin 170 Опубліковано: 2013-03-16 22:40:18 Share Опубліковано: 2013-03-16 22:40:18 да не гоните вы на ДХЦП, ему пофиг сколько там лиз прописано.. У меня около 7000 лиз и фигарит себе, без проблем, на 1 ядре загрузка 1%. У ТС проблема с трафиком, а именно с фаером. И самый дельный тут совет - убрать МТ и поставить туда линух или фряху. Ну танцы с бубнами на МТ !!! никогда оно стабильно работать не будет ) Ссылка на сообщение Поделиться на других сайтах
rsst 406 Опубліковано: 2013-03-16 22:55:40 Share Опубліковано: 2013-03-16 22:55:40 та нормально оно работает.... мт в смысле. вот килограмм правил в фаерволле это конечно ппц. i5 нормально колбасит до гига, еще запас есть. NAT тоже присутствует.... Ссылка на сообщение Поделиться на других сайтах
KaYot 3 711 Опубліковано: 2013-03-17 08:06:55 Share Опубліковано: 2013-03-17 08:06:55 (відредаговано) Да нет, ерунда какая-то. Слушает себе сервис порт 67 на заданных интерфейсах, туда ему запросы с MACами и прилетают. И ничего оно не 'парсит' и не 'жрет'. дорогой мой, МАС-и это совсем другой уровень OSI. сетевой стек (программный фреймворк) не передает на верхний уровень МАС адрес - в стандартном, быстром, "ядерном" исполнении. поэтому парсим RAW пакет и сокетами не пользуемся. а вот чтоб DHCP пользовал сокеты (например для обработки релееных запросов) нужно компилить iscDHCP с опцией USE_SOCKETS. срочно учите матчасть. Плохо когда человек пытается прикрыть свою глупость умными словами. DCHP протокол работает полностью на уровне IP, используя UDP или TCP в качестве транспорта. Если хотите - на 3ем уровне модели OSI. Слушает себе сервис 1 порт да и все, ни в какой конфигурации даже на роутерах с сотнями интерфейсов и гигабитами трафика он не потребляет никаких ресурсов. 1. Изначальный запрос (DISCOVER) идет бродкастовым UDP пакетом, scr IP=0.0.0.0, dst IP=255.255.255.255, dst MAC ff:ff:ff:ff:ff:ff 2. Сервер шлет тем же UDP-бродкастом OFFER, но уже на мак клиента. IP уровень? Таки да. Бред типа перевода интерфейса в promisc-режим и прослушивание всех пакетов выдуман вами, и в реальной жизни не используется. Да, про сокеты, UDP и релеи сам подумаешь, или тоже разжевать? Відредаговано 2013-03-17 08:29:17 KaYot Ссылка на сообщение Поделиться на других сайтах
KaYot 3 711 Опубліковано: 2013-03-17 08:49:59 Share Опубліковано: 2013-03-17 08:49:59 (відредаговано) Да нет, ерунда какая-то. Слушает себе сервис порт 67 на заданных интерфейсах, туда ему запросы с MACами и прилетают. И ничего оно не 'парсит' и не 'жрет'. Матчасть читайте. Нет никакого порта (и даже хоста), пока клиент не получил IP. Запрос на её получение широковещательный. Сначала работает 2-й уровень сети, вот поэтому DHCP сервер парсит широковещалку, которая к нему прилетает. Во-во. И вам матчасть полезно будет почитать. Не повторяйте чужие глупости. Відредаговано 2013-03-17 08:50:42 KaYot Ссылка на сообщение Поделиться на других сайтах
NiTr0 584 Опубліковано: 2013-03-17 09:35:01 Share Опубліковано: 2013-03-17 09:35:01 Да нет, ерунда какая-то. Слушает себе сервис порт 67 на заданных интерфейсах, туда ему запросы с MACами и прилетают. И ничего оно не 'парсит' и не 'жрет'. дорогой мой, МАС-и это совсем другой уровень OSI. сетевой стек (программный фреймворк) не передает на верхний уровень МАС адрес - в стандартном, быстром, "ядерном" исполнении. поэтому парсим RAW пакет и сокетами не пользуемся. а вот чтоб DHCP пользовал сокеты (например для обработки релееных запросов) нужно компилить iscDHCP с опцией USE_SOCKETS. срочно учите матчасть. Плохо когда человек пытается прикрыть свою глупость умными словами. DCHP протокол работает полностью на уровне IP, используя UDP или TCP в качестве транспорта. Если хотите - на 3ем уровне модели OSI. Слушает себе сервис 1 порт да и все, ни в какой конфигурации даже на роутерах с сотнями интерфейсов и гигабитами трафика он не потребляет никаких ресурсов. 1. Изначальный запрос (DISCOVER) идет бродкастовым UDP пакетом, scr IP=0.0.0.0, dst IP=255.255.255.255, dst MAC ff:ff:ff:ff:ff:ff 2. Сервер шлет тем же UDP-бродкастом OFFER, но уже на мак клиента. IP уровень? Таки да. Бред типа перевода интерфейса в promisc-режим и прослушивание всех пакетов выдуман вами, и в реальной жизни не используется. Да, про сокеты, UDP и релеи сам подумаешь, или тоже разжевать? Посмотрите на досуге код, дхцп сервер слушает raw сокет. И не потому, что говнокод - а потому, что иначе не получится услышать бродкаст. И каждый пакет передается в юзерленд, где уже дропается если не дхцп. И на том же наге вроде кто-то уже натыкался на грабли с дхцп - подземные стуки прекратились как только дхцп сервер/рилей с нагруженной машины был снят. Хотя, возможно, файрвол на input позволит существенно снизить нагрузку. Но я не экспериментировал. Ссылка на сообщение Поделиться на других сайтах
KaYot 3 711 Опубліковано: 2013-03-17 10:06:53 Share Опубліковано: 2013-03-17 10:06:53 Ну слушает то именно на 67 порту, верно? Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас