Перейти до

FreeBSD hi loading CPU


Рекомендованные сообщения

Так мова не про сервер, а про statefull firewall, який не пропустить вхідний пінг, бо він не ініційований зсередини.

Але "краще ставте лінукс" - ще разок можна послухати ;)

Я об этом и говорю. Разворачивать на сервер доступа statefull фаервол может или ламер, или наркоман. С первым все понятно, он просто не в курсе как сильно все эти таблицы состояний жрут ресурсы и что можно делать по-другому. Ну а наркоман когда-то собрал такую схему, и с тех пор по накатанному пути все делает одинаково.

Statefull имеет смысл использовать только на сервер приложений, на любом маршрутизаторе - это зло и грех. И согрешившие рано или поздно начинают создавать темы "1 клиент ложит сервер торрентами! Высокая загрузка cpu!" и т.п.

Ссылка на сообщение
Поделиться на других сайтах
  • Відповіді 249
  • Створено
  • Остання відповідь

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

2 KaYot    

Загалом про "сервер падає від пінгу", дуже нагадало  

это тоже пофиг. deny_in для начала ткните и посмотрите на результат.

Posted Images

 

ip_in=1.1.1.1
if_in=vlan211
CMD="/sbin/ipfw -q"
${CMD} -f flush
${CMD} -f queue flush
${CMD} -f pipe flush
${CMD} -f table all flush
 
# NAT
# ${CMD} nat 1 config log if vlan207 reset same_ports deny_in
${CMD} nat 1 config if $if_in log deny_in same_ports unreg_only reset \
         redirect_port tcp $ip_in:22 22
${CMD} add 1200 nat 1 ip from table\(1\) to not table\(9\) via $if_in
${CMD} add 1300 nat 1 ip from any to $ip_in via $if_in
${CMD} add 65534 allow ip from any to any

 

спробуйте

${CMD} add 1200 nat 1 ip from any to not table\(9\) via $if_in out

 

або якщо у вас в таблиці 9 нічого цікавого, то навіть

замість 1200 і 1300 правил

${CMD} add 1200 nat 1 ip from any to any via $if_in

 

 

 

Так мова не про сервер, а про statefull firewall, який не пропустить вхідний пінг, бо він не ініційований зсередини.

Але "краще ставте лінукс" - ще разок можна послухати ;)

Я об этом и говорю. Разворачивать на сервер доступа statefull фаервол может или ламер, или наркоман. С первым все понятно, он просто не в курсе как сильно все эти таблицы состояний жрут ресурсы и что можно делать по-другому. Ну а наркоман когда-то собрал такую схему, и с тех пор по накатанному пути все делает одинаково.

Statefull имеет смысл использовать только на сервер приложений, на любом маршрутизаторе - это зло и грех. И согрешившие рано или поздно начинают создавать темы "1 клиент ложит сервер торрентами! Высокая загрузка cpu!" и т.п.

 

Ваші слова звучать розумно, в загальному.

Але

Ви ж розумієте що NAT це завжди connection tracking.

Ссылка на сообщение
Поделиться на других сайтах

Ваші слова звучать розумно, в загальному.

Але

Ви ж розумієте що NAT це завжди connection tracking.

Ждал этого вопроса :)

Да, NAT 1-to-many это всегда conntrack. Но даже на НАТ-боксах использовать модули state, фактически для каждого пакета просматривающие таблицу состояний, не имеет смысла, выгоднее написать более длинный stateless набор правил.

Ну а на машине без НАТа использовать statefull просто преступление против ресурсов.

Ссылка на сообщение
Поделиться на других сайтах

2 KaYot

Ви самі собі суперечите.

 

Да, NAT 1-to-many это всегда conntrack. Но даже на НАТ-боксах использовать модули state, фактически для каждого пакета просматривающие таблицу состояний, не имеет смысла, выгоднее написать более длинный stateless набор правил.

 

> Ну а на машине без НАТа использовать statefull просто преступление против ресурсов. 

У кожного свої ресурси і свої потреби. Можна сказати що використання авто це теж злочин проти ресурсів - бензин же не безплатний.

Ссылка на сообщение
Поделиться на других сайтах

 

У кожного свої ресурси і свої потреби. Можна сказати що використання авто це теж злочин проти ресурсів - бензин же не безплатний.

Звичайно ж  кайот вміє без трекінгу з'єднань робити НАТ. І в вищеприведеному конфігу людини він звідкись вигадав keep-state/check-state....

Кидаю все і переходжу на лінукс.

Ссылка на сообщение
Поделиться на других сайтах

2 KaYot

Ви самі собі суперечите.

 

Да, NAT 1-to-many это всегда conntrack. Но даже на НАТ-боксах использовать модули state, фактически для каждого пакета просматривающие таблицу состояний, не имеет смысла, выгоднее написать более длинный stateless набор правил.

 

> Ну а на машине без НАТа использовать statefull просто преступление против ресурсов. 

У кожного свої ресурси і свої потреби. Можна сказати що використання авто це теж злочин проти ресурсів - бензин же не безплатний.

А если подумать немножко?

То что на машине используется conntrack для NATa, вовсе не означает что его нужно использовать для нужда фаервола. Просмотр таблицы состояний не бесплатен, проще писать правила не использующие state-конструкции, что тут непонятного?

Ссылка на сообщение
Поделиться на других сайтах

Так ніхто і не використовує стейти в фаєрволі. ^_^

Це ж не лінукс якийсь.

Так мова не про сервер, а про statefull firewall, який не пропустить вхідний пінг, бо він не ініційований зсередини.

Але "краще ставте лінукс" - ще разок можна послухати ;)

Вы уж определитесь как-то, беременна школьница или нет.

Ну а линуксы да, начинайте изучать, пригодится. Тем более сами про них вспоминаете в каждом посте, таки тянет, но религия не позволяет как и другу в ахтунг-форме? :)

Ссылка на сообщение
Поделиться на других сайтах

Ви мабуть не зрозуміли (чи не хочете показати що зрозуміли), що ipfw NAT + deny_in поводиться еквівалентно до statefull firewall - відкидає вхідні пакети, якщо сесія не ініційована зсередини.

 

Лінукс починати вчити мені не потрібно, я вже маю 3+ роки комерційного досвіду :)

Просто я не релігійний фанат якоїсь технології і під певну задачу вибираю певний інструмент.

Ссылка на сообщение
Поделиться на других сайтах
  • 4 months later...

В продолжение темы ,наступили на теже грабли (( пока закрыли так 

00001     339959     29637840 deny ip from any to any dst-port 6881-6889
00002     108549     16313973 deny ip from any to any dst-port 49001

Ссылка на сообщение
Поделиться на других сайтах

Скорее всего не поможет, добавляйте deny_in.

Да и так все закрыто ,)) кардинально задраиваться deni_in пока не вижу смысла пока мониторим ,сообщу о результате поже.

Ссылка на сообщение
Поделиться на других сайтах
  • 2 weeks later...

Что-то у Вас не так.

1 Переходите на ветку 10.х

2 Используйте pf для NAT

 

 netstat -w1 -I ix0
            input        ix0           output
   packets  errs idrops      bytes    packets  errs      bytes colls
    320313     0     0  366868461     209148     0   78974733     0
    313331     0     0  376919377     202971     0   77767996     0
    326484     0     0  367343384     221504     0   78058208     0
    296984     0     0  367091996     200329     0   74699709     0
    307369     0     0  382608771     205111     0   77122218     0
 
ifstat -b -i ix0
 Kbps in  Kbps out
2.87e+06  563286.2
2.84e+06  578222.0
2.76e+06  539053.9
2.79e+06  559105.2
2.94e+06  593246.6
2.89e+06  580271.3
2.88e+06  590727.2
2.85e+06  568154.8
 

Процессор CPU: Intel® Xeon® CPU E3-1270 V2 @ 3.50GHz

Да, нагружен.

Но еще на машинке ipfw c dummynet'ом

 

Рекомендации с https://calomel.org 

Ссылка на сообщение
Поделиться на других сайтах
ipfw nat 1 config ip 192.168.10.2 log deny_in

А далі як завжди.

 

это ясно )) а пример с шейпером ?

 как шепить входящий исходящий трафк  при таком примера ната 

Відредаговано skybetik
Ссылка на сообщение
Поделиться на других сайтах

кхм, а шейп через інтерфейс котрий на абонів дивиться?

ipfw table 3 add 10.0.0.2 250
ipfw table 4 add 10.0.0.2 10250

Де 250 та 10250 - це номера пайпу

ipfw pipe 250 config bw 10000Kbit/s
ipfw pipe 10250 config bw 10000Kbit/s
ipfw nat 1 config ip 192.168.10.2 log deny_in
ipfw add 1000 nat 1 ip from 10.0.0.0/24 to any via ${etx_if}
ipfw add 1001 nat 1 ip from any to 192.168.10.2 via ${ext_if}
ipfw add 2000 pipe tablearg ip from table\(3\) to any in via ${int_if}
ipfw add 2001 pipe tablearg ip from any to table\(4\) out via ${int_if}

ext_if - інтерфейс котрий дивиться в "інтернет"

int_if - інтерфейс котрий дивиться на юзерів.

Ссылка на сообщение
Поделиться на других сайтах

 

 

2 Используйте pf для NAT

Поделитесь, пожалуйста, полным конфигом. Есть желание попробовать, нет желания маршировать по граблям. Нагрузка по ядрам равномерная?

 

 

 

 

 

 

Сейчас использую ipfw_nat+dummynet. В пике 900мбит. Нагрузка по ядрам 30-40%. CPU:  i5-3570 CPU @ 3.40GHz

Пример конфига 

#!/bin/sh

#tables:
# 3 - Pipe Upload
# 4 - Pipe Download
# 7 - Private networks
# 9 - Dolzniki
# 33 - Server IPs
# 101 - NAT instances
# 102 - NAT clients

/sbin/sysctl net.inet.ip.fw.one_pass=0

FwCMD="/sbin/ipfw "

${FwCMD} -f flush

${FwCMD} table 7 add 10.0.0.0/8
${FwCMD} table 7 add 172.16.0.0/12
${FwCMD} table 7 add 192.168.0.0/16
${FwCMD} table 7 add 169.254.0.0/16
${FwCMD} table 33 add 10.10.0.2
${FwCMD} table 33 add *.*.56.0/26
${FwCMD} table 102 add 10.10.0.0/16 11


IP=11
while [ $IP -le 50 ]
do
NATNUM=$IP
${FwCMD} nat $NATNUM delete
${FwCMD} nat $NATNUM config log ip *.*.56.$IP reset unreg_only same_ports deny_in
${FwCMD} table 101 add *.*.56.$IP $NATNUM
IP=`expr $IP + 1`
done


#Block incoming DHT
${FwCMD} add 4001 deny all from any to any dst-port 6881-6889 via igb1 in

#NAT tablearg
${FwCMD} add 6201 nat tablearg ip from any to "table(101)" via igb1 in
${FwCMD} add 6402 nat tablearg ip from "table(102)" to any via igb1 out
${FwCMD} add 6603 allow all from any to any via igb1

#Shape
${FwCMD} add 12100 pipe tablearg ip from not "table(7)" to "table(4)" via igb0 out
${FwCMD} add 12200 allow all from not "table(7)" to "table(4)" via igb0 out
${FwCMD} add 14100 pipe tablearg ip from "table(3)" to not "table(7)" via igb0 in
${FwCMD} add 14200 allow all from "table(3)" to not "table(7)" via igb0 in

${FwCMD} add 35100 allow all from any to "table(33)"
${FwCMD} add 35200 allow all from "table(33)" to any
${FwCMD} add 35300 allow all from any to any via lo0

# default block
${FwCMD} add 65401 fwd 10.10.0.2,80 log tcp from "table(9)" to not me dst-port 80 keep-state
${FwCMD} add 65532 deny all from any to any
Ссылка на сообщение
Поделиться на других сайтах

Вот кусочки pf.conf

 

set limit { states 900000000, src-nodes 900000000, table-entries 900000000, frags 900000000 }
set timeout { interval 10, frag 10, tcp.established 3600 }
set optimization aggressive
scrub in all

table <inet_all> persist { 0/0, !10.0.0.0/8, !192.168.0.0/16, !172.16.0.0/12 }
table <localnet> persist { 10.0.0.0/8 }
nat on ix0 from  <localnet>  to  <inet_all> -> 17e.yyy.xxx.0/24 port 1024:65535 source-hash


 

Ссылка на сообщение
Поделиться на других сайтах
  • 2 weeks later...

Ребятки помогите уже запарился с deny_in ,Админ за бугром приедет только 1 января ( я не селен во frebsd как дело дошло до deni_in и шейпера руки опустились (

Сервер работает как часики ,но может 7 дней может 14 по разному  а потом load averages:  13.77 и начинаются качели.

 9.3-STABLE FreeBSD 9.3-STABLE #1 r274278: Sat Nov  8 12:54:06 EET 2014

вот вырезка пример ipfw

        os.popen(str(fwcmd) +nat 1 config  ip ex-ip  same_ports reset")
        os.popen(str(fwcmd) +add 5001 nat 1 ip from table\(501\) to any out xmit igb1")
	os.popen(str(fwcmd) +" add 5002 nat 1 ip from any to ex-ip in recv igb1")

на сервере nat и пул белых  /32,если добавляю deny_in пропадает и на сервере инет ни пинг на внешку ни с клиента нет пинга  Но скайп зараза висит  :facepalm:

        os.popen(str(fwcmd) +nat 1 config  ip ex-ip deny_in")
        os.popen(str(fwcmd) +add 5001 nat 1 ip from table\(501\) to any out xmit igb1")
	os.popen(str(fwcmd) +" add 5002 nat 1 ip from any to ex-ip in recv igb1")
00729          0             0 pipe 729 ip from table(52) to table(101) out xmit igb1
00731          0             0 skipto 5000 ip from table(52) to table(101)
00733          0             0 pipe 733 ip from table(52) to any out xmit igb1
00735          0             0 skipto 5000 ip from table(52) to any
05001   73753785   34734661997 nat 1 ip from table(501) to any out xmit igb1
05002  132014757  145283754635 nat 1 ip from any to ex-ip in recv igb1
05004   36606069   20294034640 nat 2 ip from table(502) to any out xmit igb1
05005   71902570   84753519967 nat 2 ip from any to ex-ip in recv igb1
05006    9636088    1915377845 nat 3 ip from table(503) to any out xmit igb1
05007   18247725   22551080621 nat 3 ip from any to ex-ip in recv igb1
05008    7659733     552406667 nat 4 ip from table(504) to any out xmit igb1
05009   14916465   20236847505 nat 4 ip from any to ex-ip in recv igb1
05009   19651593    5119388609 nat 5 ip from table(505) to any out xmit igb1
05009   27635611   30053011081 nat 5 ip from any to ex-ip in recv igb1
05010   28345341    2962103220 nat 6 ip from table(506) to any out xmit igb1
05011   55460250   75853488958 nat 6 ip from any to ex-ip in recv igb1
05012   34562334   11159982710 nat 7 ip from table(507) to any out xmit igb1
05013   50772676   59321680188 nat 7 ip from any to ex-ip in recv igb1
05014   66424697   52466465834 nat 8 ip from table(508) to any out xmit igb1
05015   61191704   44608155129 nat 8 ip from any to ex-ip in recv igb1
05016   26237528    6036768722 nat 9 ip from table(509) to any out xmit igb1
05017   38460350   50744955713 nat 9 ip from any to ex-ip in recv igb1
05018   14465991    3668652755 nat 10 ip from table(510) to any out xmit igb1
05018   19423499   10545557979 nat 11 ip from table(511) to any out xmit igb1
05019   23314861   27874590194 nat 10 ip from any to ex-ip in recv igb1
05019   27943772   20905541735 nat 11 ip from any to ex-ip in recv igb1
05020   14709303    2388703644 nat 12 ip from table(512) to any out xmit igb1
05021   26267877   31997642865 nat 12 ip from any to ex-ip in recv igb1
05022   51260635   13134494319 nat 13 ip from table(513) to any out xmit igb1
05023   74146678   92276893304 nat 13 ip from any to ex-ip in recv igb1
05024   66281677   26791438900 nat 14 ip from table(514) to any out xmit igb1
05025   88396804   95425424436 nat 14 ip from any to ex-ip in recv igb1
05026   23728032    3527277062 nat 15 ip from table(515) to any out xmit igb1
05027   36129451   43491104042 nat 15 ip from any to ex-ip in recv igb1
05028   32942991    9999344340 nat 16 ip from table(516) to any out xmit igb1
05029   51429251   63857685172 nat 16 ip from any to ex-ip in recv igb1
05030   32621346   10768655514 nat 17 ip from table(517) to any out xmit igb1
05031   46428588   50144865494 nat 17 ip from any to ex-ip in recv igb1
05032   32125563   10908257000 nat 18 ip from table(518) to any out xmit igb1
05033   47849532   56737658724 nat 18 ip from any to ex-ip in recv igb1
05034   18693900    5258792215 nat 19 ip from table(519) to any out xmit igb1
05035   29810998   35627452483 nat 19 ip from any to ex-ip in recv igb1
05036   34870607    3981711680 nat 20 ip from table(520) to any out xmit igb1
05037   49883876   53665779347 nat 20 ip from any to ex-ip in recv igb1
05038   72261183   23420033751 nat 21 ip from table(521) to any out xmit igb1
05039   95989697  110195378597 nat 21 ip from any to ex-ip in recv igb1
05040   10519728    1199888486 nat 22 ip from table(522) to any out xmit igb1
05041   17197041   23525839646 nat 22 ip from any to ex-ip in recv igb1
05042   40651543   13239413756 nat 23 ip from table(523) to any out xmit igb1
05043   62027791   72017057354 nat 23 ip from any to ex-ip in recv igb1
05044   29010783    4246448731 nat 24 ip from table(524) to any out xmit igb1
05045   58608895   79166367033 nat 24 ip from any to ex-ip in recv igb1
05046   27759385    6453072425 nat 25 ip from table(525) to any out xmit igb1
05047   47256198   61834020343 nat 25 ip from any to ex-ip in recv igb1
05048   71510321   43752942975 nat 26 ip from table(526) to any out xmit igb1
05049   90882349   97355768213 nat 26 ip from any to ex-ip in recv igb1
05050   24385399   23589450335 nat 27 ip from table(527) to any out xmit igb1
05051   27368038   19879626521 nat 27 ip from any to ex-ip in recv igb1
05052   12391054    1670517271 nat 28 ip from table(528) to any out xmit igb1
05053   20690107   27487782459 nat 28 ip from any to ex-ip in recv igb1
05054   35912670   20143752934 nat 29 ip from table(529) to any out xmit igb1
05055   50231839   53984941216 nat 29 ip from any to ex-ip in recv igb1
05056          0             0 nat 30 ip from table(530) to any out xmit igb1
05057       6760        821427 nat 30 ip from any to ex-ip in recv igb1
10024      57700      31143916 pipe 10024 ip from table(100) to table(2) in recv igb1
10026      57702      31146070 skipto 65534 ip from table(100) to table(2)
10028   14563704   19132907588 pipe 10028 ip from table(101) to table(2) in recv igb1
10030   14522600   19073962842 skipto 65534 ip from table(101) to table(2)
10032    5480434    4402901290 pipe 10032 ip from any to table(2) in recv igb1
10034    5448904    4357994458 skipto 65534 ip from any to table(2)
10036     811987    1077316643 pipe 10036 ip from table(100) to table(3) in recv igb1
10038     811960    1077280783 skipto 65534 ip from table(100) to table(3)
10040   30011130   37973625183 pipe 10040 ip from table(101) to table(3) in recv igb1
10042   29903250   37815510338 skipto 65534 ip from table(101) to table(3)
10044   32834005   40534344056 pipe 10044 ip from any to table(3) in recv igb1
10046   32741644   40397497474 skipto 65534 ip from any to table(3)
10048        696        758692 pipe 10048 ip from table(100) to table(4) in recv igb1
10050        696        758692 skipto 65534 ip from table(100) to table(4)
10052    4512883    6237710532 pipe 10052 ip from table(101) to table(4) in recv igb1
10054    4506522    6228291216 skipto 65534 ip from table(101) to table(4)
10056    2631428    3701650804 pipe 10056 ip from any to table(4) in recv igb1
10058    2622558    3688585731 skipto 65534 ip from any to table(4)
10060          0             0 pipe 10060 ip from table(100) to table(5) in recv igb1
10062          0             0 skipto 65534 ip from table(100) to table(5)
10064          0             0 pipe 10064 ip from table(101) to table(5) in recv igb1
10066          0             0 skipto 65534 ip from table(101) to table(5)
10068          0             0 pipe 10068 ip from any to table(5) in recv igb1
10070          0             0 skipto 65534 ip from any to table(5)
10072          0             0 pipe 10072 ip from table(100) to table(6) in recv igb1
10074          0             0 skipto 65534 ip from table(100) to table(6)
10076          0             0 pipe 10076 ip from table(101) to table(6) in recv igb1
10078          0             0 skipto 65534 ip from table(101) to table(6)
10080          0             0 pipe 10080 ip from any to table(6) in recv igb1
10082          0             0 skipto 65534 ip from any to table(6)
10276          0             0 pipe 10276 ip from table(100) to table(23) in recv igb1
10278          0             0 skipto 65534 ip from table(100) to table(23)
10280          0             0 pipe 10280 ip from table(101) to table(23) in recv igb1
10282          0             0 skipto 65534 ip from table(101) to table(23)
10284          0             0 pipe 10284 ip from any to table(23) in recv igb1
10286          0             0 skipto 65534 ip from any to table(23)
10288          0             0 pipe 10288 ip from table(100) to table(24) in recv igb1
10290          0             0 skipto 65534 ip from table(100) to table(24)
10292          0             0 pipe 10292 ip from table(101) to table(24) in recv igb1
10294          0             0 skipto 65534 ip from table(101) to table(24)
10296          0             0 pipe 10296 ip from any to table(24) in recv igb1
10298          0             0 skipto 65534 ip from any to table(24)
10300     168497     181635499 pipe 10300 ip from table(100) to table(25) in recv igb1
10302     168496     181632551 skipto 65534 ip from table(100) to table(25)
10304   33041572   43743967072 pipe 10304 ip from table(101) to table(25) in recv igb1
10306   32593503   43150513010 skipto 65534 ip from table(101) to table(25)
10308   16933729   18186908591 pipe 10308 ip from any to table(25) in recv igb1
10310   16622289   17794411433 skipto 65534 ip from any to table(25)
10312          0             0 pipe 10312 ip from table(100) to table(26) in recv igb1
10314          0             0 skipto 65534 ip from table(100) to table(26)
10316          0             0 pipe 10316 ip from table(101) to table(26) in recv igb1
10318          0             0 skipto 65534 ip from table(101) to table(26)
10320          0             0 pipe 10320 ip from any to table(26) in recv igb1
10322          0             0 skipto 65534 ip from any to table(26)
10324       7775       5465509 pipe 10324 ip from table(100) to table(27) in recv igb1
10326       7775       5465509 skipto 65534 ip from table(100) to table(27)
10328   17811172   25699553361 pipe 10328 ip from table(101) to table(27) in recv igb1
10330   17794487   25675240084 skipto 65534 ip from table(101) to table(27)
10332    1518898    1735113814 pipe 10332 ip from any to table(27) in recv igb1
10334    1516254    1731165052 skipto 65534 ip from any to table(27)
10336       5195       5695792 pipe 10336 ip from table(100) to table(28) in recv igb1
10338       5195       5695792 skipto 65534 ip from table(100) to table(28)
10340   24509640   36290416369 pipe 10340 ip from table(101) to table(28) in recv igb1
10342   24455448   36209589187 skipto 65534 ip from table(101) to table(28)
10344     829157    1197094033 pipe 10344 ip from any to table(28) in recv igb1
10346     828017    1195395127 skipto 65534 ip from any to table(28)
10360    1155369    1593312940 pipe 10360 ip from table(100) to table(30) in recv igb1
10362    1155316    1593242560 skipto 65534 ip from table(100) to table(30)
10364   33052323   40810209778 pipe 10364 ip from table(101) to table(30) in recv igb1
10366   32633141   40234772734 skipto 65534 ip from table(101) to table(30)
10368   28217127   34923409060 pipe 10368 ip from any to table(30) in recv igb1
10370   27771914   34326606495 skipto 65534 ip from any to table(30)
10372     173317      38051152 pipe 10372 ip from table(100) to table(31) in recv igb1
10374     173317      38051152 skipto 65534 ip from table(100) to table(31)
10376   19226334   22204606160 pipe 10376 ip from table(101) to table(31) in recv igb1
10378   19136218   22072212465 skipto 65534 ip from table(101) to table(31)
10380   15074972   17222383025 pipe 10380 ip from any to table(31) in recv igb1
10382   14552778   16478727719 skipto 65534 ip from any to table(31)
10384     436600      55834887 pipe 10384 ip from table(100) to table(32) in recv igb1
10386     436600      55834887 skipto 65534 ip from table(100) to table(32)
10388   15660927   15901111826 pipe 10388 ip from table(101) to table(32) in recv igb1
10390   15441182   15599142012 skipto 65534 ip from table(101) to table(32)
10392   18031128   19230447998 pipe 10392 ip from any to table(32) in recv igb1
10394   18020958   19215365406 skipto 65534 ip from any to table(32)
10396    7942533    9980746262 pipe 10396 ip from table(100) to table(33) in recv igb1
10398    7942302    9980413683 skipto 65534 ip from table(100) to table(33)
10400  382406733  486936221453 pipe 10400 ip from table(101) to table(33) in recv igb1
10402  379189909  482385116111 skipto 65534 ip from table(101) to table(33)
10404  241297568  267725410889 pipe 10404 ip from any to table(33) in recv igb1
10406  239788069  265703098897 skipto 65534 ip from any to table(33)
10408     599139     563238081 pipe 10408 ip from table(100) to table(34) in recv igb1
10410     595734     558130173 skipto 65534 ip from table(100) to table(34)
10412  112293637  145591798578 pipe 10412 ip from table(101) to table(34) in recv igb1
10414  111906598  145026819000 skipto 65534 ip from table(101) to table(34)
10416   63229163   75152804444 pipe 10416 ip from any to table(34) in recv igb1
10418   63093101   74951285479 skipto 65534 ip from any to table(34)
10420    2842826     777345142 pipe 10420 ip from table(100) to table(35) in recv igb1
10422    2842826     777341032 skipto 65534 ip from table(100) to table(35)
10424  109534713  109005632562 pipe 10424 ip from table(101) to table(35) in recv igb1
10426  109231210  108568194293 skipto 65534 ip from table(101) to table(35)
10428   96323160   83412315373 pipe 10428 ip from any to table(35) in recv igb1
10430   96259232   83318714229 skipto 65534 ip from any to table(35)
10432     243742     293312101 pipe 10432 ip from table(100) to table(36) in recv igb1
10434     243743     293312269 skipto 65534 ip from table(100) to table(36)
10436    5482394    5444682584 pipe 10436 ip from table(101) to table(36) in recv igb1
10438    5452674    5403724359 skipto 65534 ip from table(101) to table(36)
10440   13338693   17814066328 pipe 10440 ip from any to table(36) in recv igb1
10442   13281800   17732520470 skipto 65534 ip from any to table(36)
10444          0             0 pipe 10444 ip from table(100) to table(37) in recv igb1
10446          0             0 skipto 65534 ip from table(100) to table(37)
10448     566548     701872255 pipe 10448 ip from table(101) to table(37) in recv igb1
10450     562695     696683658 skipto 65534 ip from table(101) to table(37)
10452      85431     107936501 pipe 10452 ip from any to table(37) in recv igb1
10454      84984     107271863 skipto 65534 ip from any to table(37)
10456          0             0 pipe 10456 ip from table(100) to table(38) in recv igb1
10458          0             0 skipto 65534 ip from table(100) to table(38)
10460          0             0 pipe 10460 ip from table(101) to table(38) in recv igb1
10462          0             0 skipto 65534 ip from table(101) to table(38)
10464          0             0 pipe 10464 ip from any to table(38) in recv igb1
10466          0             0 skipto 65534 ip from any to table(38)
10468          0             0 pipe 10468 ip from table(100) to table(39) in recv igb1
10470          0             0 skipto 65534 ip from table(100) to table(39)
10472          0             0 pipe 10472 ip from table(101) to table(39) in recv igb1
10474          0             0 skipto 65534 ip from table(101) to table(39)
10476          0             0 pipe 10476 ip from any to table(39) in recv igb1
10478          0             0 skipto 65534 ip from any to table(39)
10480          0             0 pipe 10480 ip from table(100) to table(40) in recv igb1
10482          0             0 skipto 65534 ip from table(100) to table(40)
10484          0             0 pipe 10484 ip from table(101) to table(40) in recv igb1
10486          0             0 skipto 65534 ip from table(101) to table(40)
10488          0             0 pipe 10488 ip from any to table(40) in recv igb1
10490          0             0 skipto 65534 ip from any to table(40)
10492          0             0 pipe 10492 ip from table(100) to table(41) in recv igb1
10494          0             0 skipto 65534 ip from table(100) to table(41)
10496          0             0 pipe 10496 ip from table(101) to table(41) in recv igb1
10498          0             0 skipto 65534 ip from table(101) to table(41)
10500          0             0 pipe 10500 ip from any to table(41) in recv igb1
10502          0             0 skipto 65534 ip from any to table(41)
10504          0             0 pipe 10504 ip from table(100) to table(42) in recv igb1
10506          0             0 skipto 65534 ip from table(100) to table(42)
10508          0             0 pipe 10508 ip from table(101) to table(42) in recv igb1
10510          0             0 skipto 65534 ip from table(101) to table(42)
10512          0             0 pipe 10512 ip from any to table(42) in recv igb1
10514          0             0 skipto 65534 ip from any to table(42)
10516          0             0 pipe 10516 ip from table(100) to table(43) in recv igb1
10518          0             0 skipto 65534 ip from table(100) to table(43)
10520          0             0 pipe 10520 ip from table(101) to table(43) in recv igb1
10522          0             0 skipto 65534 ip from table(101) to table(43)
10524          0             0 pipe 10524 ip from any to table(43) in recv igb1
10526          0             0 skipto 65534 ip from any to table(43)
10528          0             0 pipe 10528 ip from table(100) to table(44) in recv igb1
10530          0             0 skipto 65534 ip from table(100) to table(44)
10532          0             0 pipe 10532 ip from table(101) to table(44) in recv igb1
10534          0             0 skipto 65534 ip from table(101) to table(44)
10536          0             0 pipe 10536 ip from any to table(44) in recv igb1
10538          0             0 skipto 65534 ip from any to table(44)
10540          0             0 pipe 10540 ip from table(100) to table(45) in recv igb1
10542          0             0 skipto 65534 ip from table(100) to table(45)
10544          0             0 pipe 10544 ip from table(101) to table(45) in recv igb1
10546          0             0 skipto 65534 ip from table(101) to table(45)
10548          0             0 pipe 10548 ip from any to table(45) in recv igb1
10550          0             0 skipto 65534 ip from any to table(45)
10552          0             0 pipe 10552 ip from table(100) to table(46) in recv igb1
10554          0             0 skipto 65534 ip from table(100) to table(46)
10556          0             0 pipe 10556 ip from table(101) to table(46) in recv igb1
10558          0             0 skipto 65534 ip from table(101) to table(46)
10560          0             0 pipe 10560 ip from any to table(46) in recv igb1
10562          0             0 skipto 65534 ip from any to table(46)
10612          0             0 pipe 10612 ip from table(100) to table(51) in recv igb1
10614          0             0 skipto 65534 ip from table(100) to table(51)
10616          0             0 pipe 10616 ip from table(101) to table(51) in recv igb1
10618          0             0 skipto 65534 ip from table(101) to table(51)
10620          0             0 pipe 10620 ip from any to table(51) in recv igb1
10622          0             0 skipto 65534 ip from any to table(51)
10624          0             0 pipe 10624 ip from table(100) to table(52) in recv igb1
10626          0             0 skipto 65534 ip from table(100) to table(52)
10628          0             0 pipe 10628 ip from table(101) to table(52) in recv igb1
10630          0             0 skipto 65534 ip from table(101) to table(52)
10632          0             0 pipe 10632 ip from any to table(52) in recv igb1
10634          0             0 skipto 65534 ip from any to table(52)
65535 3186062005 2631217055589 allow ip from any to any

ipfw show  

где ex-ip белый ip

Відредаговано skybetik
Ссылка на сообщение
Поделиться на других сайтах

Якщо у вас декілька айпішок тоді взагалі просто.

Хай сервер ексклюзивно використовує свою одну білу адресу, без всяких NATів.

Абонентів розкиньте по інших білих айпішках через nat з deny_in і без same_ports.

 

Також всю цю купу правил можна замінити на 4 правила з використанням tablearg - приклад є вище по темі.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від mac
      Глюк в тому, що один (так - тільки один) mac адрес onu існує в білінгу у вигляді строки. Це трохи заважає.
      olt - bdcom gepon.
      Наскільки зрозумів, це виключно проблема реалізації snmpwalk у freebsd, де snmpwalk може на свій розсуд віддати mac адресу не як hex-string, а як звичайний string.
      Можливо snmpwalk тригериться на якомусь символі, мені невідомо.
       
      # tcpdump -vv -i em0 udp port 161 and host olt and host ub | grep "3320.101.10.4.1.1.241 ... olt.snmp > ub.47940: [udp sum ok] { SNMPv2c C="*****" { GetResponse(44) R=93278354 E:3320.101.10.4.1.1.241="8LO"W*" } } ub.47940 > olt.snmp: [udp sum ok] { SNMPv2c C="*****" { GetNextRequest(34) R=93278355 E:3320.101.10.4.1.1.241 } } snmpwalk -c***** -v2c -t5 olt .1.3.6.1.4.1.3320.101.10.4.1.1 SNMPv2-SMI::enterprises.3320.101.10.4.1.1.241 = STRING: "8LO\"W*" snmpwalk -Ox -c***** -v2c -t5 olt .1.3.6.1.4.1.3320.101.10.4.1.1 SNMPv2-SMI::enterprises.3320.101.10.4.1.1.241 = Hex-STRING: 38 4C 4F 22 57 2A  
      Це стосується таких параметрів у snmp конфізі bdcom
       
      [signal] MACINDEX=".1.3.6.1.4.1.3320.101.10.4.1.1" [misc] ONUINDEX=".1.3.6.1.4.1.3320.101.11.1.1.3"  
      За для усунення глюку спробував трошки змінити код і завдати тип snmp параметру явно у ./api/libs/api.ponbdcom.php у function collect()
      Це працює. Мабуть станеться у нагоді:
       
      # diff api.ponbdcom.php{.new,.bak} 37c37 < $onuIndex = $this->snmp->walk('-Ox ' . $oltIp . ':' . self::SNMPPORT, $oltCommunity, $onuIndexOid, self::SNMPCACHE); --- > $onuIndex = $this->snmp->walk($oltIp . ':' . self::SNMPPORT, $oltCommunity, $onuIndexOid, self::SNMPCACHE); 91c91 < $macIndex = $this->snmp->walk('-Ox ' . $oltIp . ':' . self::SNMPPORT, $oltCommunity, $macIndexOID, self::SNMPCACHE); --- > $macIndex = $this->snmp->walk($oltIp . ':' . self::SNMPPORT, $oltCommunity, $macIndexOID, self::SNMPCACHE);  
      P.S. Створив тему, а зараз міркую: а може це глюк у ПЗ olt. Оновлю фірмваре olt та перевірю...
       

    • Від a_n_h
      Всем доброго дня и мирного неба!
        После многочисленных экспериментов выяснил, что на последних версиях freebsd  максимум удавалось прокачать до 14 ГБт суммарно трафика со 100% загрузкой процессора. На том-же железе но с установленной freebsd 11.2 прокачивается до 20-ти ГБт суммарно тестового трафика с загрузкой процессора около 50%. 
        Подскажите, что можно убрать или наоборот добавить в систему с freebsd 13,3 для получения аналогичного результата...
    • Від mac
      Здається, після оновлення PHP 7.4 до PHP 8.2 feesharvester припинив працювати:
       
      /usr/local/bin/curl "http://127.0.0.1/billing/?module=remoteapi&key={SERIAL}&action=feesharvester" <br /> <b>Fatal error</b>: Uncaught TypeError: Unsupported operand types: string - string in {UBPATH}/billing/api/libs/api.fundsflow.php:570 Stack trace: #0 {UBPATH}/billing/modules/remoteapi/feesharvester.php(22): FundsFlow-&gt;harvestFees('2024-01') ...  
      Невеличке розслідування врешті з'ясувало, що це через наявність пробілу у деяких логінах абонентів. Як так сталося? Тому що інколи був неуважно додан трейлінг пробіл до номеру будинка і цей пробіл потрапив до логіну абоненту. Логін абоненту неможливо змінити ніяким чином штатними засобами. Я не розглядаю створення нового абонента для усунення помілки.

      Був обран такий шлях вирішення проблеми. Заміну функції php explode() знайшов у мережі. Мабуть це станеться в нагоді:

       
      diff api.fundsflow.php.bak api.fundsflow.php.new 559c559 < $eachfee = explode(' ', $eachline); --- > $eachfee = preg_split("~(?<!\\\\)(?:\\\\{2})*'[^'\\\\]*(?:\\\\.[^'\\\\]*)*'(*SKIP)(*F)|\s+~s" , $eachline);  
    • Від FantoM_EscapE
      Хочу перенести свій білінг NODENY із фізичного сервера на віртуальний. Шукаю адміна який зможе допомогти у цьому питанні, так як нашого адміна банально призвали до війська. Вся схема на даний момент робоча, маю доступи до всього. Потрібно проінсталити на новішу версію FREEBSD, бо на моїй 10 річній вже не працюють нові SSL сертифікати. Кого зацікавила дана пропозиція - прошу у приватні повідомлення. обсудимо ціну і строки. або пишіть на будь-який месенджер 0677792091
    • Від rusol
      Добрый вечер.
       
      Есть от провайдера блок реальных адресов, к примеру 100.1.1.192/26
       
      Раньше сеть была в одном влане и записи в /etc/rc.conf были такие:

       
      ifconfig_ix0="inet 192.168.0.1 netmask 255.255.255.0" # Шлюз для пользователей с локальным IP ifconfig_ix0_alias0="inet 100.1.1.193 netmask 255.255.255.192" # Шлюз для пользователей с реальными IP  
      После чего стала задача часть пользователей переводить во вланы тоже с разделением на локальные IP и реальные, первый влан создал где-то пару лет назад и все работает:
       
      ifconfig_vlan1="vlan 1 vlandev ix0 192.168.1.1 netmask 255.255.255.0" # Шлюз для пользователей с локальным IP во Влане 1 ifconfig_vlan1_alias0="inet 100.1.1.248 netmask 255.255.255.248" # Шлюз для пользователей с реальными IP  во Влане 1  
      И вот стоит задача создать еще один влан, делаю по аналогии с вланом 1, только маску смещаю назад:
       
      ifconfig_vlan2="vlan 2 vlandev ix0 192.168.1.1 netmask 255.255.255.0" # Шлюз для пользователей с локальным IP во Влане 2 ifconfig_vlan2_alias0="inet 100.1.1.246 netmask 255.255.255.254" # Шлюз для пользователей с реальными IP во Влане 2  
      Когда я внес это в /etc/rc.conf и прописал команду:
       
      ifconfig vlan2 create  
      Все заработало.
       
      Но как только перезагрузился сервер, перестали работать реальные IP без вланов, в первом влане и во втором. Не пойму что не так делаю, возможно я с маской подсети что-то недопонимаю...

×
×
  • Створити нове...