FreeBSD hi loading CPU

[wantmore]

Ну что там у вас?

[BARVIT]

Пока живет, сделали 3 вещи - чо помогло хз. То есть во время падений не было Blackhole, небыли закрыты порты 6881-6889 и 49001, и не было deny_in. При первых двух пунктах тоже падал но реже, после deny_in

up 5 days, 18:04

Но это я так понимаю еще далеко не показатель.

Відредаговано 3 червня, 2014 BARVIT

[l1ght]

А у меня видимо просто больной mpd -шный netflow.

Его выключил и тоже вроде всё в порядке.

[speedfire87]

Тоже самое, freebsd 10, драйвер сетевой igb подсчет трафика использую softflowd, процессор core i7. И еще как выглядит правило deny_in ?

Відредаговано 8 червня, 2014 speedfire87

[major12]

Який нат використовуєте?

[speedfire87]

Ядерный nat 

 

${CMD} nat 1 config log if igb0 reset same_ports

${CMD} add 1300 nat 1 ip from any to 1.1.1.1 via igb0 

[major12]

pf nat теж можна назвати ядерним. У вас ipfw nat.

 

 

И еще как выглядит правило deny_in ?

 

${CMD} nat 1 config log if igb0 reset same_ports deny_in

[speedfire87]

и все таки какие идеи есть по поводу кратковремменой перегрузке проца ?

[major12]

Ідея у тому що libalias, а саме ця бібліотека використовується в ipfw kernel nat, має помилки архітектури, через що, коли використовувати її без deny_in маємо проблеми.

 

Але вам би спочатку переконатись, що процесор грузить саме kernel і т.д.

Відредаговано 8 червня, 2014 major12

[speedfire87]

включил reset same_ports deny_in но появился следующий нюанс не могу с мира зайти по ссш и не работает пинг, как можно разрешить эту проблему ?

[BARVIT]

${FwCMD} nat 1 config if igb0 log deny_in unreg_only redirect_port tcp 1.1.1.1:80 80 redirect_port udp 1.1.1.1:53 53 redirect_port tcp 1.1.1.1:22 22

Відредаговано 8 червня, 2014 BARVIT

[speedfire87]

Здорово, а как быть с icmp ?

[BARVIT]

Может разрешить до deny_in icmp?

[major12]

Або визначитись - вам шашечки чи їхати?

Заробляти гроші на клієнтах чи на вхідному icmp трафіку.

[KaYot]

Нормальные сервера от пинга не ложатся. И даже ненормальные(типа windows 2003) не ложатся. Если ваш падает - видимо надо менять одмина.

[major12]

Так мова не про сервер, а про statefull firewall, який не пропустить вхідний пінг, бо він не ініційований зсередини.

Але "краще ставте лінукс" - ще разок можна послухати

[major12]

Нормальные сервера от пинга не ложатся. И даже ненормальные(типа windows 2003) не ложатся. Если ваш падает - видимо надо менять одмина.

 

Загалом про "сервер падає від пінгу", дуже нагадало

 

Відредаговано 8 червня, 2014 major12

[KaYot]

Так мова не про сервер, а про statefull firewall, який не пропустить вхідний пінг, бо він не ініційований зсередини.

Але "краще ставте лінукс" - ще разок можна послухати

Ну я о том же. Входящий пинг даже джуниперы с цисками железные не запрещают, ибо это маразм.

Но для БДЗ это необходимо что б не падать, да?

[major12]

Де ви взагалі прочитали що щось падає від пінгу?

[nightfly]

2 major12

 

Де ви взагалі прочитали що щось падає від пінгу?

Ну так то в пана кайота манічка така кумедна.

Вирішувати проблеми в незалежності від їх характеру суто заміною ОС. У випадку відсутності проблем - вигадувати їх і теж "вирішувати" заміною ОС.

 

 

[Lambert]

не падает. То некоторым надо слюникса попиарить просто. Где-то вычитали что оно чем-то лучше, и вот...

[speedfire87]

Тут возникла такая проблема что после deny_in нет интернета на самом сервере то есть 127.0.0.1 не могу ни один пакет установить (${CMD} nat 1 config if $if_in log deny_in same_ports unreg_only reset)

[major12]

Конфіг фаєрвола покажіть.

[speedfire87]

ip_in=1.1.1.1

if_in=vlan211

CMD="/sbin/ipfw -q"

${CMD} -f flush

${CMD} -f queue flush

${CMD} -f pipe flush

${CMD} -f table all flush

 

# NAT

# ${CMD} nat 1 config log if vlan207 reset same_ports deny_in

${CMD} nat 1 config if $if_in log deny_in same_ports unreg_only reset \

         redirect_port tcp $ip_in:22 22

${CMD} add 1200 nat 1 ip from table\(1\) to not table\(9\) via $if_in

${CMD} add 1300 nat 1 ip from any to $ip_in via $if_in

${CMD} add 65534 allow ip from any to any

Відредаговано 9 червня, 2014 speedfire87

[supportod]

Покажите вывод

ipfw show

реальные IP можете заменить на 11.xx.xx.xx

 

 

P.S. переменные $if_in замените на ${if_in}

Відредаговано 10 червня, 2014 vlad11