FreeBSD hi loading CPU

KaYot · 27 травня, 2014

Угу, проблемы не у китайских машин, а у их владельцев.

sanyadnepr · 27 травня, 2014

Угу, проблемы не у китайских машин, а у их владельцев.

Каждый дрочит так как может, у остальных работает.

BARVIT · 27 травня, 2014

Вроде нашел... после блокировки порта отпустило. пока наблюдаем

00004 597408 29992104 deny tcp from any to any dst-port 6881 tcpflags syn

00004 1748354 229779480 deny udp from any to any dst-port 6881

00004 26872 3606330 deny udp from any to any dst-port 49001

00004 21036 1063936 deny tcp from any to any dst-port 49001 tcpflags syn

4125/1260/5385 mbufs in use (current/cache/total)

4123/491/4614/25600 mbuf clusters in use (current/cache/total/max)

4123/485 mbuf+clusters out of packet secondary zone in use (current/cache)

0/77/77/12800 4k (page size) jumbo clusters in use (current/cache/total/max)

0/0/0/6400 9k jumbo clusters in use (current/cache/total/max)

0/0/0/3200 16k jumbo clusters in use (current/cache/total/max)

9281K/1605K/10886K bytes allocated to network (current/cache/total)

0/0/0 requests for mbufs denied (mbufs/clusters/mbuf+clusters)

0/0/0 requests for mbufs delayed (mbufs/clusters/mbuf+clusters)

0/0/0 requests for jumbo clusters delayed (4k/9k/16k)

0/0/0 requests for jumbo clusters denied (4k/9k/16k)

0/0/0 sfbufs in use (current/peak/max)

0 requests for sfbufs denied

0 requests for sfbufs delayed

298 requests for I/O initiated by sendfile

0 calls to protocol drain routines

UPD: И Ростик вот это видать добавил, раньше блекхола не было

net.inet.tcp.blackhole=2

net.inet.udp.blackhole=1

Відредаговано 27 травня, 2014 BARVIT

Al G · 27 травня, 2014

Блокировать лучше не только 6881, но и 6881-6889, и именно входящий с внешки, так как блокировка исходящего трафика от пользователей по этим портам лишит возможности искать им пиров через DHT

04001 31409738 1851207434 deny ip from any to any dst-port 6881-6889 via igb1 in

Да и правила лучше поэкономить, написать что-то вроде

deny ip from any to any dst-port 6881-6889,49001 via igb1 in

без разделения на tcp/udp

BARVIT · 27 травня, 2014

у меня наружу igb0 приходит тег 1607, igb0.1607, если просто указать igb0 то зацепит влан или все таки с вланом указывать?

Відредаговано 27 травня, 2014 BARVIT

Al G · 27 травня, 2014

Тогда via igb0.1607 in

DemonidZe · 27 травня, 2014

по моему такая конструкция igb0* in тоже работает

BARVIT · 28 травня, 2014

Такс... поиски продолжаются, после манипуляций с портами - попустило на пару дней, дальше вот что происходит. Полный ступор в консоли не реагирует, да в принципе на клаву тоже 0 внимания, отключаешь внешний канал (просто кабель из сетевой выдергиваю.) Машина начинает дышать включаю netstat -w1 с выводом в файл. до последеней строки это без кабеля в сетевке на инет. Далее втыкаю кабель - опять ступор, выдернул кабель и вышел из netstat. И вот какая хрень:

sos.txt

Так все порты закрыть можно...

Abram · 28 травня, 2014

BARVIT,

Вы с такими раскладами в конце-концов либо станете гуру FreeBSD, либо действительно перейдете на Linux.

DemonidZe · 28 травня, 2014

сегодня было так :

траф и колво пакетов начали естественно падать , бордер начал делать такое (<Info:DOSProt.AddACLOK> Added an ACL to port 1, srcIP 188.x.x.x to destIP 0.0.0.0, protocol any ) думинет начал жрать очень много , закрытие портов не помогло , ipfw nat с deny-in.

поделитесь кто что на свичах закрывает ?

sanyadnepr · 29 травня, 2014

Такс... поиски продолжаются, после манипуляций с портами - попустило на пару дней, дальше вот что происходит. Полный ступор в консоли не реагирует, да в принципе на клаву тоже 0 внимания, отключаешь внешний канал (просто кабель из сетевой выдергиваю.) Машина начинает дышать включаю netstat -w1 с выводом в файл. до последеней строки это без кабеля в сетевке на инет. Далее втыкаю кабель - опять ступор, выдернул кабель и вышел из netstat. И вот какая хрень:

sos.txt

Так все порты закрыть можно...

Так чего молчиш ? Пиши.

сегодня было так :

cpu.png

ppc.png

traf.png

траф и колво пакетов начали естественно падать , бордер начал делать такое (<Info:DOSProt.AddACLOK> Added an ACL to port 1, srcIP 188.x.x.x to destIP 0.0.0.0, protocol any ) думинет начал жрать очень много , закрытие портов не помогло , ipfw nat с deny-in.

поделитесь кто что на свичах закрывает ?

А что вы собрались на свичах закрывать ?

masters · 29 травня, 2014

поделитесь кто что на свичах закрывает ?

У меня PPPoE. На свичах фильтрую весь траффик кроме pppoe.

http://forum.nag.ru/forum/index.php?showtopic=43551

wantmore · 29 травня, 2014

Есть положительные сдвиги?

BARVIT · 29 травня, 2014

наблюдаем, пока нет.

KaYot · 29 травня, 2014

наблюдаем, пока нет.

Неужели вселенская мудрость улыбчивого СаниДнепр не работает?

BARVIT · 29 травня, 2014

Ждем когда упадет чтоб статистику собрать.

wantmore · 29 травня, 2014

Что и как планируете собирать ? Делитесь шагами,многим будет полезно.

BARVIT · 30 травня, 2014

Подскажите, это допустимые значения или это х-ня не здоровая? Пол инета обрыл так и не понял в чем же это измеряется? что значит m и u

wantmore · 30 травня, 2014

Подскажите, это допустимые значения или это х-ня не здоровая? Пол инета обрыл так и не понял в чем же это измеряется? что значит m и u

Снимок.JPG

U - наверняка это штук,а m - миллион.

l1ght · 31 травня, 2014

Не совсем в тему, но из-за чего может выключатся и тут же включатся интерфейс.

Редко бывает конечно, но не очень приятно.

sv-lex · 31 травня, 2014

Подскажите, это допустимые значения или это х-ня не здоровая? Пол инета обрыл так и не понял в чем же это измеряется? что значит m и u

Снимок.JPG

http://forums.cacti.net/viewtopic.php?t=8168

10^-6   u - micro
10^-3   m - milli

Такие значения получаются когда за 5 мин на счетчиках копится несколько ошибок.

BARVIT · 31 травня, 2014

И все таки то что на графике, это много или это норма? И если много куда копать ?

supportod · 31 травня, 2014

И все таки то что на графике, это много или это норма? И если много куда копать ?

Кол-во входящих ошибок не критично.

Но мусора на входе не должно быть.

Відредаговано 31 травня, 2014 vlad11

BARVIT · 31 травня, 2014

Где нужно рубить ошибки? На доступе либо на агрегации? И что рубить?

supportod · 1 червня, 2014

Где нужно рубить ошибки? На доступе либо на агрегации? И что рубить?

На доступе и на входе с аплинков.

На агрегации и ядре уже поздно.

Зеркалируйте траффик с ошибками на сервер и анализируйте/классифицируйте ошибки.

Дальше, стройте фильтры на доступе. На наге были примеры типовых фильтров, но они не со 100% охватом ошибок.

Відредаговано 1 червня, 2014 vlad11

Увійти

FreeBSD hi loading CPU

Рекомендованные сообщения

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

nightfly

major12

nightfly

Posted Images

Создайте аккаунт или войдите в него для комментирования

Создать аккаунт

Вхід

Зараз на сторінці 0 користувачів

Схожий контент