Перейти до

Зашивается сервер MT. Помогите.

Nightly Wanderer

Автор: Nightly Wanderer,
в Софт

 Share Подписчики 2

Рекомендованные сообщения

Nightly Wanderer

Nightly Wanderer 589

Опубліковано:
  • Автор
Опубліковано:

А как переписать? Сейчас забили всех в адрес лист. Не помогло. Что-то есть ещё? Может вимели в виду сколько правил ната, а не вообще в фаерволе?

Ссылка на сообщение
Поделиться на других сайтах
  • Відповіді 109
  • Створено
  • Остання відповідь

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

KaYot

i7 умирает на 400Мбитах?? Это нонсенс какой-то, наймите админа который софт в порядок приведет. А лучше вообще снесет этот убогий МТ. Такое железо должно гиг вывозить даже на 1 ядре в самом ужасном с

andryas

Які мережеві і який трафік? Скільки клієнтів через нього ходить? NAT є?   Є 4 виходи із ситуації. 1. Спростити фаєрвол і шейпер. Якщо НАТ на цій машині - винести на іншу. 2. (не відміняє перший) -

Кеша

викиньте нах@р компьютер. поставьте L3 коммутатор.

Posted Images

KaYot

KaYot 3 606

Опубліковано:
Опубліковано:

В linux для этого есть магическое слово 'ipset'. Как реализовать подобное в MT - думайте сами, хз.

Вообще абсолютно не обязательно доступ разрешать/запрещать в фаерволе. Есть разные дизайны BRASов, в своем новом soft-IPOE я вообще фаервол не использую(2 правила на доступ к самому серверу по ssh) - а значит машина без НАТа сможет жевать десятки гигабит и миллионы PPS - жизнь одмина будет спокойной и размеренной :)

Ссылка на сообщение
Поделиться на других сайтах
andryas

andryas 1 058

Опубліковано:
Опубліковано: (відредаговано)

А как тогда разрешать/ запрещать доступ в интернет если будет на группы?

 

Это очевидно. Создайте групу забаненых :)

 

Можно также маршрутизировать его в нуль

Відредаговано andryas
Ссылка на сообщение
Поделиться на других сайтах
ntil

ntil 57

Опубліковано:
Опубліковано: (відредаговано)

фаервол переписать что-бы правила были иерархичесими. сейчас у вас среднестатистически пакет проходит 900\2=450 правил. трехуровневая иерархия даст 10-30 правил.

акцеслист на 900 сравнений - эквивалент цепочки из 900 правил, если поиск в ней не оптимизирован, но я такого не встречал на программных роутерах.

убирите нахрен ДХЦП с трафиковых интерфейсов. ДХЦП парсит все транзитные пакеты на МАС уровне - это жрет производительность похлеще фаервола. вынесите ДХЦП на отдельный таз или хотя-бы на отдельный физический интерфейс (хотя в МТ так не катит вроде).  

Відредаговано ntil
Ссылка на сообщение
Поделиться на других сайтах
KaYot

KaYot 3 606

Опубліковано:
Опубліковано:

фаервол переписать что-бы правила были иерархичесими. сейчас у вас среднестатистически пакет проходит 900\2=450 правил. трехуровневая иерархия даст 10-30 правил.

убирите нахрен ДХЦП с трафиковых интерфейсов. ДХЦП парсит все транзитные пакеты на МАС уровне - это жрет производительность похлеще фаервола. вынесите ДХЦП на отдельный таз или хотя-бы на отдельный физический интерфейс (хотя в МТ так не катит вроде).  

С фига ли DHCP чего-то там парсит и жрет? Он свой порт слушает и чихать ему на трафик, пакеты, маки и т.п.

Ссылка на сообщение
Поделиться на других сайтах
ntil

ntil 57

Опубліковано:
Опубліковано: (відредаговано)

 

С фига ли DHCP чего-то там парсит и жрет? Он свой порт слушает и чихать ему на трафик, пакеты, маки и т.п

"проверено электроникой" на себе - парисит на МАС уровне - что на МТ что на линуксе. подтверждено ковырятельством в сырцах.

кстате наверно не спроста требуется установленная опция "reorder MAC header" на VLAN интерфейсе в линксе для корректной работы ДХЦП, правда ?

МАС пакета кстате нужен для поддержки LEASE DB :) так-что он парсится, откуда ведь он берется?

Відредаговано ntil
Ссылка на сообщение
Поделиться на других сайтах
andryas

andryas 1 058

Опубліковано:
Опубліковано:

 

фаервол переписать что-бы правила были иерархичесими. сейчас у вас среднестатистически пакет проходит 900\2=450 правил. трехуровневая иерархия даст 10-30 правил.

убирите нахрен ДХЦП с трафиковых интерфейсов. ДХЦП парсит все транзитные пакеты на МАС уровне - это жрет производительность похлеще фаервола. вынесите ДХЦП на отдельный таз или хотя-бы на отдельный физический интерфейс (хотя в МТ так не катит вроде).  

С фига ли DHCP чего-то там парсит и жрет? Он свой порт слушает и чихать ему на трафик, пакеты, маки и т.п.

 

Слухає, DHCP на окрему машину, однозначно.

Ссылка на сообщение
Поделиться на других сайтах
KaYot

KaYot 3 606

Опубліковано:
Опубліковано:

 

 

С фига ли DHCP чего-то там парсит и жрет? Он свой порт слушает и чихать ему на трафик, пакеты, маки и т.п

"проверено электроникой" на себе - парисит на МАС уровне - что на МТ что на линуксе. подтверждено ковырятельством в сырцах.

кстате наверно не спроста требуется установленная опция "reorder MAC header" на VLAN интерфейсе в линксе для корректной работы ДХЦП, правда ?

МАС пакета кстате нужен для поддержки LEASE DB :) так-что он парсится, откуда ведь он берется?

Да нет, ерунда какая-то. Слушает себе сервис порт 67 на заданных интерфейсах, туда ему запросы с MACами и прилетают. И ничего оно не 'парсит' и не 'жрет'.

Ссылка на сообщение
Поделиться на других сайтах
andryas

andryas 1 058

Опубліковано:
Опубліковано:

 

 

 

С фига ли DHCP чего-то там парсит и жрет? Он свой порт слушает и чихать ему на трафик, пакеты, маки и т.п

"проверено электроникой" на себе - парисит на МАС уровне - что на МТ что на линуксе. подтверждено ковырятельством в сырцах.

кстате наверно не спроста требуется установленная опция "reorder MAC header" на VLAN интерфейсе в линксе для корректной работы ДХЦП, правда ?

МАС пакета кстате нужен для поддержки LEASE DB :) так-что он парсится, откуда ведь он берется?

Да нет, ерунда какая-то. Слушает себе сервис порт 67 на заданных интерфейсах, туда ему запросы с MACами и прилетают. И ничего оно не 'парсит' и не 'жрет'.

 

Матчасть читайте. Нет никакого порта (и даже хоста), пока клиент не получил IP. Запрос на её получение широковещательный. Сначала работает 2-й уровень сети, вот поэтому DHCP сервер парсит широковещалку, которая к нему прилетает.

Ссылка на сообщение
Поделиться на других сайтах
ntil

ntil 57

Опубліковано:
Опубліковано: (відредаговано)

 

Да нет, ерунда какая-то. Слушает себе сервис порт 67 на заданных интерфейсах, туда ему запросы с MACами и прилетают. И ничего оно не 'парсит' и не 'жрет'.

 

дорогой мой, МАС-и это совсем другой уровень OSI. сетевой стек (программный фреймворк) не передает на верхний уровень МАС адрес - в стандартном, быстром,  "ядерном" исполнении. поэтому парсим RAW пакет и сокетами не пользуемся.

а вот чтоб DHCP пользовал сокеты (например для обработки релееных запросов) нужно компилить iscDHCP с опцией USE_SOCKETS. 

срочно учите матчасть.

Відредаговано ntil
Ссылка на сообщение
Поделиться на других сайтах
andryas

andryas 1 058

Опубліковано:
Опубліковано:

Но песня сейчас не о том, проблема у ТС совсем другого порядка, ибо при нормальной работе сети с разбором DHCP запросов и первый пентюх справится.

Ссылка на сообщение
Поделиться на других сайтах
ntil

ntil 57

Опубліковано:
Опубліковано: (відредаговано)

 

Но песня сейчас не о том, проблема у ТС совсем другого порядка, ибо при нормальной работе сети с разбором DHCP запросов и первый пентюх справится.

прикол в том, что он разбирает на Л2 все что влетело в интерфейс - несколько сот М у топикстартера.

незнаю это баг или фича ISCDHCPD. но я спецом в исходник вставлял отладочный вывод в ДХЦП по приему пакета - все попадало в парсер. и учтите - у ТС в ДХЦП 900 правл - наверное статик лизы - оно ведь с ними всеми маки сравнивает на влёте пакета. трындец!

но в МТ скорее всего  ISCDHCPD или его форк. я просто на эти грабли наступал. 

Відредаговано ntil
Ссылка на сообщение
Поделиться на других сайтах
andryas

andryas 1 058

Опубліковано:
Опубліковано: (відредаговано)

В крайнем случае, в чём проблема погасить на минутку, ради эксперемента, DHCP сервер, в момент затыка сервера, дабы исключить его из цепочки?

 

Пускай погасит и посмотрит решило проблему или нет. Далее можно спокойно прийти к выводу, что виной всему кривописаный фаервол, через тыщу правил которого пролетает весь этот траффик.

Відредаговано andryas
Ссылка на сообщение
Поделиться на других сайтах
martin

martin 170

Опубліковано:
Опубліковано:

да не гоните вы на ДХЦП, ему пофиг сколько там лиз прописано.. У меня около 7000 лиз и фигарит себе, без проблем, на 1 ядре загрузка 1%. У ТС проблема с трафиком, а именно с фаером. И самый дельный тут совет - убрать МТ и поставить туда линух или фряху. Ну танцы с бубнами на МТ !!! никогда оно стабильно работать не будет )

Ссылка на сообщение
Поделиться на других сайтах
rsst

rsst 404

Опубліковано:
Опубліковано:

та нормально оно работает.... мт в смысле. вот килограмм правил в фаерволле это конечно ппц.

i5 нормально колбасит до гига, еще запас есть. NAT тоже присутствует....

Ссылка на сообщение
Поделиться на других сайтах
KaYot

KaYot 3 606

Опубліковано:
Опубліковано: (відредаговано)

 

 

Да нет, ерунда какая-то. Слушает себе сервис порт 67 на заданных интерфейсах, туда ему запросы с MACами и прилетают. И ничего оно не 'парсит' и не 'жрет'.

 

дорогой мой, МАС-и это совсем другой уровень OSI. сетевой стек (программный фреймворк) не передает на верхний уровень МАС адрес - в стандартном, быстром,  "ядерном" исполнении. поэтому парсим RAW пакет и сокетами не пользуемся.

а вот чтоб DHCP пользовал сокеты (например для обработки релееных запросов) нужно компилить iscDHCP с опцией USE_SOCKETS. 

срочно учите матчасть.

Плохо когда человек пытается прикрыть свою глупость умными словами. DCHP протокол работает полностью на уровне IP, используя UDP или TCP в качестве транспорта. Если хотите - на 3ем уровне модели OSI. Слушает себе сервис 1 порт да и все, ни в какой конфигурации даже на роутерах с сотнями интерфейсов и гигабитами трафика он не потребляет никаких ресурсов.

1. Изначальный запрос (DISCOVER) идет бродкастовым UDP пакетом, scr IP=0.0.0.0, dst IP=255.255.255.255, dst MAC ff:ff:ff:ff:ff:ff

2. Сервер шлет тем же UDP-бродкастом OFFER, но уже на мак клиента.

IP уровень? Таки да. Бред типа перевода интерфейса в promisc-режим и прослушивание всех пакетов выдуман вами, и в реальной жизни не используется.

 

Да, про сокеты, UDP и релеи сам подумаешь, или тоже разжевать?

Відредаговано KaYot
Ссылка на сообщение
Поделиться на других сайтах
KaYot

KaYot 3 606

Опубліковано:
Опубліковано: (відредаговано)

 

 

Да нет, ерунда какая-то. Слушает себе сервис порт 67 на заданных интерфейсах, туда ему запросы с MACами и прилетают. И ничего оно не 'парсит' и не 'жрет'.

 

Матчасть читайте. Нет никакого порта (и даже хоста), пока клиент не получил IP. Запрос на её получение широковещательный. Сначала работает 2-й уровень сети, вот поэтому DHCP сервер парсит широковещалку, которая к нему прилетает.

 

 

Во-во. И вам матчасть полезно будет почитать. Не повторяйте чужие глупости. Відредаговано KaYot
Ссылка на сообщение
Поделиться на других сайтах
NiTr0

NiTr0 583

Опубліковано:
Опубліковано:

 

 

 

Да нет, ерунда какая-то. Слушает себе сервис порт 67 на заданных интерфейсах, туда ему запросы с MACами и прилетают. И ничего оно не 'парсит' и не 'жрет'.

 

дорогой мой, МАС-и это совсем другой уровень OSI. сетевой стек (программный фреймворк) не передает на верхний уровень МАС адрес - в стандартном, быстром,  "ядерном" исполнении. поэтому парсим RAW пакет и сокетами не пользуемся.

а вот чтоб DHCP пользовал сокеты (например для обработки релееных запросов) нужно компилить iscDHCP с опцией USE_SOCKETS. 

срочно учите матчасть.

Плохо когда человек пытается прикрыть свою глупость умными словами. DCHP протокол работает полностью на уровне IP, используя UDP или TCP в качестве транспорта. Если хотите - на 3ем уровне модели OSI. Слушает себе сервис 1 порт да и все, ни в какой конфигурации даже на роутерах с сотнями интерфейсов и гигабитами трафика он не потребляет никаких ресурсов.

1. Изначальный запрос (DISCOVER) идет бродкастовым UDP пакетом, scr IP=0.0.0.0, dst IP=255.255.255.255, dst MAC ff:ff:ff:ff:ff:ff

2. Сервер шлет тем же UDP-бродкастом OFFER, но уже на мак клиента.

IP уровень? Таки да. Бред типа перевода интерфейса в promisc-режим и прослушивание всех пакетов выдуман вами, и в реальной жизни не используется.

 

Да, про сокеты, UDP и релеи сам подумаешь, или тоже разжевать?

Посмотрите на досуге код, дхцп сервер слушает raw сокет. И не потому, что говнокод - а потому, что иначе не получится услышать бродкаст. И каждый пакет передается в юзерленд, где уже дропается если не дхцп. И на том же наге вроде кто-то уже натыкался на грабли с дхцп - подземные стуки прекратились как только дхцп сервер/рилей с нагруженной машины был снят.

Хотя, возможно, файрвол на input позволит существенно снизить нагрузку. Но я не экспериментировал.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
 Share
Подписчики 2
Перейти до переліку тем

  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...