kvirtu 315 Опубліковано: 2015-02-15 20:38:13 Автор Share Опубліковано: 2015-02-15 20:38:13 (відредаговано) В 15.02.2015 в 20:16, rtrt сказав: у меня была похожая ситуация, когда рандомно грузился сервер как по систем, так и по прерываниям - не хватало входящего канала точно хватает, загрузка может вырасти внезпно, даже при 40 Мбитах. Відредаговано 2015-02-15 20:38:41 kvirtu Ссылка на сообщение Поделиться на других сайтах
l1ght 377 Опубліковано: 2015-02-15 21:37:16 Share Опубліковано: 2015-02-15 21:37:16 В 15.02.2015 в 20:07, kvirtu сказав: swi1: net це netisr, поставити нормальні мережеві і вирубити його нафіг, і дамп той що був - fault через netisr. Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-16 06:16:04 Автор Share Опубліковано: 2015-02-16 06:16:04 В 15.02.2015 в 21:37, L1ght сказав: В 15.02.2015 в 20:07, kvirtu сказав: swi1: net це netisr, поставити нормальні мережеві і вирубити його нафіг, і дамп той що був - fault через netisr. netisr - щас буду гуглить как вырубить Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-16 09:21:58 Автор Share Опубліковано: 2015-02-16 09:21:58 (відредаговано) пока переделал правила ipfw ipfw.conf Відновити прихований контент #!/bin/sh # fwcmd='/sbin/ipfw -q' # ${fwcmd} -f flush ${fwcmd} -f queue flush ${fwcmd} -f pipe flush # ${fwcmd} add 005 fwd 10.128.10.1 tcp from 172.16.30.0/24 to any # Loopback ${fwcmd} add 10 allow all from any to any via lo0 ${fwcmd} add 15 deny all from any to 127.0.0.0/8 ${fwcmd} add 20 deny ip from 127.0.0.0/8 to any # ${fwcmd} add 30 check-state # Запрет X-сканирования: ${fwcmd} add 40 reject log tcp from any to any tcpflags fin, syn, rst, psh, ack, urg # Запрет N-сканирования: ${fwcmd} add 41 reject log tcp from any to any tcpflags !fin, !syn, !rst, !psh, !ack, !urg # Запрет FIN-сканирования: ${fwcmd} add 42 reject log tcp from any to any not established tcpflags fin # Защита от спуфинга (подмена адреса отправителя) #${fwcmd} add 43 deny log ip from any to any not verrevpath in via bge0 # block some DOS attacks. ${fwcmd} add 44 deny tcp from any to any tcpoptions !mss tcpflags syn,!ack # Drop icmp ###${fwcmd} add 45 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 #External interface Netbios BLOCK ${fwcmd} add 50 deny udp from any 135-139 to any via bge0 # netbios низя ${fwcmd} add 51 deny tcp from any 135-139,445 to any via bge0 # netbios низя ${fwcmd} add 52 deny udp from any to any 135-139 via bge0 # netbios низя ${fwcmd} add 53 deny tcp from any to any 135-139,445 via bge0 # netbios #Internal interface Netbios BLOCK ${fwcmd} add 54 deny udp from any 135-139 to any via bge1 # netbios низя ${fwcmd} add 55 deny tcp from any 135-139,445 to any via bge1 # netbios низя ${fwcmd} add 56 deny udp from any to any 135-139 via bge1 # netbios низя ${fwcmd} add 57 deny tcp from any to any 135-139,445 via bge1 # netbios #Mail Deny ${fwcmd} add 65 deny tcp from 10.128.10.0/23 to any 25 ${fwcmd} add 66 deny tcp from 172.16.20.0/23 to any 25 # рубим автоконфигуреную частную сеть ###${fwcmd} add 67 deny ip from 169.254.0.0/16 to any # разрешить весь выходящий трафик ${fwcmd} add 70 allow tcp from me to any keep-state ${fwcmd} add 71 allow udp from me to any keep-state ###Traceroute fo system #${fwcmd} add 72 allow icmp from me to any out via bge0 icmptype 0,3,8,11,12 keep-state ${fwcmd} add 72 allow icmp from me to any out icmptype 0,3,8 keep-state # Allow in me from any ${fwcmd} add 80 allow tcp from any to me 80,xxx keep-state ${fwcmd} add 82 allow tcp from any to me xxxx keep-state ${fwcmd} add 95 allow udp from any to me 53 keep-state ${fwcmd} add 100 allow icmp from any to me in via bge0 icmptype 0,3,8 keep-state ${fwcmd} add 101 allow icmp from any to me in via re0 icmptype 0,3,8 keep-state ${fwcmd} add 102 allow icmp from any to me in via bge1 icmptype 0,3,8 keep-state ${fwcmd} add 103 deny log icmp from any to me in via bge0 icmptype 5,9,13,14,16,17 # NAT ${fwcmd} nat 1 config if bge0 log same_ports deny_in unreg_only #${fwcmd} add 65055 nat 1 ip from 172.16.20.0/24 to any ${fwcmd} add 65060 nat 1 ip from any to any via bge0 #${fwcmd} add 65060 nat 1 ip from 172.16.20.0/24 to any ${fwcmd} add 65061 allow ip from 172.16.20.0/23 to any ${fwcmd} add 65062 allow ip from any to 172.16.20.0/23 # разрешаем tcp-пакеты по уже установленным соединениям ${fwcmd} add 65532 allow tcp from any to any established # Broadcasts are denied and not logged. ${fwcmd} add 65533 deny all from any to 255.255.255.255 # Deny All ${fwcmd} add 65534 deny log all from any to any Відредаговано 2015-02-16 09:23:14 kvirtu Ссылка на сообщение Поделиться на других сайтах
kha0s 112 Опубліковано: 2015-02-16 09:35:48 Share Опубліковано: 2015-02-16 09:35:48 Очень лень в чужих правилах копаться, как я уже говорил - я бы половину этой паранойи выбросил. allow tcp from any to any established как можно выше - его суть не нагружать файрвол тем, что уже разрешено. Но у вас наты, шматы, шейперы, шмейперы - видимо в акурат за ними и ставить В 16.02.2015 в 09:21, kvirtu сказав: ${fwcmd} add 65534 deny log all from any to any Вот тут интересно - глазками анализировали этот логгинг? Есть предположение что в это правило попадает слишком много траффика и логируя весь этот мусор мы дико тормозим вход, в результате чего система тупо виснет. Лог в глобальных местах нужен на момент внедрения - недельку понаблюдать и сделать уточнения в правилах. Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-16 10:50:40 Автор Share Опубліковано: 2015-02-16 10:50:40 В 16.02.2015 в 09:35, kha0s сказав: Очень лень в чужих правилах копаться, как я уже говорил - я бы половину этой паранойи выбросил. allow tcp from any to any established как можно выше - его суть не нагружать файрвол тем, что уже разрешено. Но у вас наты, шматы, шейперы, шмейперы - видимо в акурат за ними и ставить В 16.02.2015 в 09:21, kvirtu сказав: ${fwcmd} add 65534 deny log all from any to any Вот тут интересно - глазками анализировали этот логгинг? Есть предположение что в это правило попадает слишком много траффика и логируя весь этот мусор мы дико тормозим вход, в результате чего система тупо виснет. Лог в глобальных местах нужен на момент внедрения - недельку понаблюдать и сделать уточнения в правилах. новые правила тока сегодня утром "внедрил" ну пока в логи пишется ничтожно мало инфы, последняя запись в 11:48 на 20 строчек и то по правилу 103: DENY ICMP:5.1 пока все в штатном режиме, 0.00% swi1: net , 34.89% irq19: bge0 Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-16 14:20:55 Автор Share Опубліковано: 2015-02-16 14:20:55 (відредаговано) заметил, что нагрузка растет когда в логи сыплет, к примеру такое хотя этих юзверы, к инету не подключены ? Відновити прихований контент Feb 16 16:18:14 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.165:61794 194.44.4.217:80 in via bge1 Feb 16 16:18:15 darnet kernel: ipfw: 65534 Deny UDP 10.128.10.45:63081 192.168.2.150:44773 in via bge1 Feb 16 16:18:15 darnet kernel: ipfw: 65534 Deny UDP 10.128.10.173:39242 192.168.1.67:44046 in via bge1 Feb 16 16:18:19 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.154:49803 173.194.44.35:80 in via bge1 Feb 16 16:18:20 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.165:61794 194.44.4.217:80 in via bge1 Feb 16 16:18:22 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.154:49803 173.194.44.35:80 in via bge1 Feb 16 16:18:28 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.154:49803 173.194.44.35:80 in via bge1 Feb 16 16:18:34 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.154:49804 217.69.134.55:80 in via bge1 Feb 16 16:18:37 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.154:49804 217.69.134.55:80 in via bge1 Feb 16 16:18:37 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.165:61795 194.44.4.217:80 in via bge1 Feb 16 16:18:40 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.165:61795 194.44.4.217:80 in via bge1 Feb 16 16:18:40 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.154:49805 173.194.44.39:80 in via bge1 Feb 16 16:18:43 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.154:49804 217.69.134.55:80 in via bge1 Feb 16 16:18:43 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.154:49805 173.194.44.39:80 in via bge1 Feb 16 16:18:46 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.165:61795 194.44.4.217:80 in via bge1 Feb 16 16:18:49 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.154:49805 173.194.44.39:80 in via bge1 Feb 16 16:18:55 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.154:49806 217.69.134.56:80 in via bge1 Feb 16 16:18:58 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.154:49806 217.69.134.56:80 in via bge1 Feb 16 16:18:58 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.165:61796 194.44.4.202:80 in via bge1 Feb 16 16:19:01 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.165:61796 194.44.4.202:80 in via bge1 Feb 16 16:19:01 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.154:49807 173.194.44.37:80 in via bge1 Feb 16 16:19:04 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.154:49806 217.69.134.56:80 in via bge1 Feb 16 16:19:04 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.154:49807 173.194.44.37:80 in via bge1 Feb 16 16:19:06 darnet kernel: ipfw: 65534 Deny UDP 192.168.1.88:58937 192.168.1.255:6771 in via bge1 Feb 16 16:19:07 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.165:61796 194.44.4.202:80 in via bge1 Feb 16 16:19:09 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.165:61797 77.234.41.63:80 in via bge1 Feb 16 16:19:10 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.154:49807 173.194.44.37:80 in via bge1 Feb 16 16:19:12 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.165:61797 77.234.41.63:80 in via bge1 Відредаговано 2015-02-16 14:24:06 kvirtu Ссылка на сообщение Поделиться на других сайтах
kha0s 112 Опубліковано: 2015-02-16 14:27:41 Share Опубліковано: 2015-02-16 14:27:41 Бинго. Как я и предполагал. Пакеты тормозятся, заполняя буфер - не успевают логироваться. Буфер заканчивается и биг бада бум. Урежь паранойю Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-16 14:44:10 Автор Share Опубліковано: 2015-02-16 14:44:10 (відредаговано) В 16.02.2015 в 14:27, kha0s сказав: Бинго. Как я и предполагал. Пакеты тормозятся, заполняя буфер - не успевают логироваться. Буфер заканчивается и биг бада бум. Урежь паранойю ipfw: 65534 убрал, не помогло ( Відредаговано 2015-02-16 14:45:26 kvirtu Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-16 14:55:58 Автор Share Опубліковано: 2015-02-16 14:55:58 (відредаговано) все удалил, отставил только НАТ: darnet# ipfw list00010 allow ip from any to any via lo000015 deny ip from any to 127.0.0.0/800020 deny ip from 127.0.0.0/8 to any65060 nat 1 ip from any to any via bge065061 allow ip from 172.16.20.0/23 to any65062 allow ip from any to 172.16.20.0/2365535 allow ip from any to any не помогает Відредаговано 2015-02-16 14:56:06 kvirtu Ссылка на сообщение Поделиться на других сайтах
kha0s 112 Опубліковано: 2015-02-16 15:04:25 Share Опубліковано: 2015-02-16 15:04:25 Теперь смотреть в час пик кто именно шалит. Прерывания? Дамминет? Нат? Файрвол? Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-16 15:05:29 Автор Share Опубліковано: 2015-02-16 15:05:29 (відредаговано) В общем: загибается под В 16.02.2015 в 15:04, kha0s сказав: Теперь смотреть в час пик кто именно шалит. Прерывания? Дамминет? Нат? Файрвол? шейпер , как только включаю его, swi1 - сразу по 100. И это при включенном поллинге на сетевых Відредаговано 2015-02-16 15:06:14 kvirtu Ссылка на сообщение Поделиться на других сайтах
Ромка 567 Опубліковано: 2015-02-16 15:13:37 Share Опубліковано: 2015-02-16 15:13:37 Оффтоп. Сильно ногами не пинайте, но может попробуете Abills + Accel-ppp на Debian. Работает, есть не просит, нагрузки на порядок выше чем у ТС. Ссылка на сообщение Поделиться на других сайтах
kha0s 112 Опубліковано: 2015-02-16 15:18:37 Share Опубліковано: 2015-02-16 15:18:37 В 16.02.2015 в 15:05, kvirtu сказав: В общем: загибается под В 16.02.2015 в 15:04, kha0s сказав: Теперь смотреть в час пик кто именно шалит. Прерывания? Дамминет? Нат? Файрвол? шейпер , как только включаю его, swi1 - сразу по 100. И это при включенном поллинге на сетевых Ну, покажите еще ipfw show и ipfw pipe show в пиках. Может еще на какие мысли натолкнет. Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-16 15:20:43 Автор Share Опубліковано: 2015-02-16 15:20:43 В 16.02.2015 в 15:13, Ромка сказав: Оффтоп. Сильно ногами не пинайте, но может попробуете Abills + Accel-ppp на Debian. Работает, есть не просит, нагрузки на порядок выше чем у ТС. спс, заказал сетевые igb - будут затвра+поменяю сам сервак. Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-16 15:23:41 Автор Share Опубліковано: 2015-02-16 15:23:41 В 16.02.2015 в 15:18, kha0s сказав: В 16.02.2015 в 15:05, kvirtu сказав: В общем: загибается под В 16.02.2015 в 15:04, kha0s сказав: Теперь смотреть в час пик кто именно шалит. Прерывания? Дамминет? Нат? Файрвол?шейпер , как только включаю его, swi1 - сразу по 100. И это при включенном поллинге на сетевых Ну, покажите еще ipfw show и ipfw pipe show в пиках. Может еще на какие мысли натолкнет. шейпер сейчас выключен. ipfw show Відновити прихований контент 00005 0 0 fwd 10.128.10.1 tcp from 172.16.30.0/24 to any 00010 1273 219939 allow ip from any to any via lo0 00015 0 0 deny ip from any to 127.0.0.0/8 00020 0 0 deny ip from 127.0.0.0/8 to any 00030 0 0 check-state 00040 0 0 reject log logamount 100 tcp from any to any tcpflags syn,fin,ack,psh,rst,urg 00041 1 52 reject log logamount 100 tcp from any to any tcpflags !syn,!fin,!ack,!psh,!rst,!urg 00042 0 0 reject log logamount 100 tcp from any to any not established tcpflags fin 00043 266 20186 deny log logamount 100 ip from any to any not verrevpath in via bge0 00044 45 2536 deny tcp from any to any tcpoptions !mss setup 00045 1 56 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17 00050 0 0 deny udp from any 135-139 to any via bge0 00051 0 0 deny tcp from any 135-139,445 to any via bge0 00052 0 0 deny udp from any to any dst-port 135-139 via bge0 00053 0 0 deny tcp from any to any dst-port 135-139,445 via bge0 00054 877 77941 deny udp from any 135-139 to any via bge1 00055 0 0 deny tcp from any 135-139,445 to any via bge1 00056 0 0 deny udp from any to any dst-port 135-139 via bge1 00057 0 0 deny tcp from any to any dst-port 135-139,445 via bge1 00065 0 0 deny tcp from 10.128.10.0/23 to any dst-port 25 00066 0 0 deny tcp from 172.16.20.0/23 to any dst-port 25 00070 692 183336 allow tcp from me to any keep-state 00071 9452 889924 allow udp from me to any keep-state 00072 628 124616 allow icmp from me to any out icmptypes 0,3,8 keep-state 00080 651 334387 allow tcp from any to me dst-port 80,9443 keep-state 00082 692 223964 allow tcp from any to me dst-port 3301,3503 keep-state 00095 19950 1695594 allow udp from any to me dst-port 53 keep-state 00100 12562 1253702 allow icmp from any to me in via bge0 icmptypes 0,3,8 keep-state 00101 0 0 allow icmp from any to me in via re0 icmptypes 0,3,8 keep-state 00102 4 604 allow icmp from any to me in via bge1 icmptypes 0,3,8 keep-state 00103 0 0 deny log logamount 100 icmp from any to me in via bge0 icmptypes 5,9,13,14,16,17 65060 6682369 5156268883 nat 1 ip from any to any via bge0 65061 2718091 357335723 allow ip from 172.16.20.0/23 to any 65062 3743898 4781073926 allow ip from any to 172.16.20.0/23 65532 286 38318 allow tcp from any to any established 65533 90 31032 deny ip from any to 255.255.255.255 65534 6930 497792 deny log logamount 100 ip from any to any 65535 708013 207369777 allow ip from any to any Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-16 15:28:57 Автор Share Опубліковано: 2015-02-16 15:28:57 млять , ipfw pipe show - пусто Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-16 15:42:25 Автор Share Опубліковано: 2015-02-16 15:42:25 (відредаговано) В 16.02.2015 в 15:28, kvirtu сказав: млять , ipfw pipe show - пусто у меня же все в таблицах + ng_car Global shaper 10000 netgraph tablearg ip from table(10) to any in recv ng* 10010 netgraph tablearg ip from any to table(11) out xmit ng* 10020 allow ip from table(9) to any in recv ng* 10025 allow ip from any to table(9) out xmit ng* ABillS NAT start NAT start ipfw nat 21 config ip х.х.х.х log 60010 nat tablearg ip from table(34) to any via bge0 01020 nat tablearg ip from any to table(33) via bge0 in Відредаговано 2015-02-16 15:54:50 kvirtu Ссылка на сообщение Поделиться на других сайтах
kha0s 112 Опубліковано: 2015-02-16 15:56:47 Share Опубліковано: 2015-02-16 15:56:47 Ничего не понимаю - почему в выводе ipfw show нету правил с последнего поста? Файрвол и абилс с его натом и шейпером в разных вселенных живут? Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-16 16:08:25 Автор Share Опубліковано: 2015-02-16 16:08:25 В 16.02.2015 в 15:56, kha0s сказав: Ничего не понимаю - почему в выводе ipfw show нету правил с последнего поста? Файрвол и абилс с его натом и шейпером в разных вселенных живут? http://abills.net.ua/wiki/doku.php/abills:docs:manual:ng_car Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-16 16:22:58 Автор Share Опубліковано: 2015-02-16 16:22:58 (відредаговано) Может я и ошибась, но меня вроде досят из сетки. Вот сейчас все нормально: сессой онлайн более 100 , траффик примерно 60 Мбит, в /var/log/security - ничего не сыпется. Как только в логи сыпется из локалки : Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.86:1339 91.196.7.46:61818 in via bge1Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.86:1300 46.254.16.107:80 in via bge1Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.127:51326 87.240.131.120:443 in via bge1Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.86:1340 92.52.187.70:11577 in via bge1Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny UDP 10.128.10.154:62985 50.157.178.60:51622 in via bge1Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny UDP 10.128.10.154:62985 178.93.145.0:37648 in via bge1Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny UDP 10.128.10.154:62985 36.63.30.85:11264 in via bge1Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny UDP 10.128.10.154:62985 118.176.107.134:61455 in via bge1 Сразу капец : swi1: net - 100 % Відредаговано 2015-02-16 16:23:05 kvirtu Ссылка на сообщение Поделиться на других сайтах
kha0s 112 Опубліковано: 2015-02-16 17:01:55 Share Опубліковано: 2015-02-16 17:01:55 В 16.02.2015 в 16:08, kvirtu сказав: В 16.02.2015 в 15:56, kha0s сказав: Ничего не понимаю - почему в выводе ipfw show нету правил с последнего поста? Файрвол и абилс с его натом и шейпером в разных вселенных живут? http://abills.net.ua/wiki/doku.php/abills:docs:manual:ng_car я знаю что такое ng_car. Я о том что : В 16.02.2015 в 15:42, kvirtu сказав: 10000 netgraph tablearg ip from table(10) to any in recv ng* 10010 netgraph tablearg ip from any to table(11) out xmit ng* 10020 allow ip from table(9) to any in recv ng* 10025 allow ip from any to table(9) out xmit ng* ABillS NAT start NAT start ipfw nat 21 config ip х.х.х.х log 60010 nat tablearg ip from table(34) to any via bge0 01020 nat tablearg ip from any to table(33) via bge0 in Почему в листинге ipfw show что выше я не вижу правил номер: 10000, 10010, 10020, 10025, 60010 и 01020. Они хоть и динамически, но добавляются и в живом листинге обязаны присутствовать. Ссылка на сообщение Поделиться на других сайтах
kha0s 112 Опубліковано: 2015-02-16 17:04:46 Share Опубліковано: 2015-02-16 17:04:46 (відредаговано) В 16.02.2015 в 16:22, kvirtu сказав: Может я и ошибась, но меня вроде досят из сетки. Вот сейчас все нормально: сессой онлайн более 100 , траффик примерно 60 Мбит, в /var/log/security - ничего не сыпется. Как только в логи сыпется из локалки : Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.86:1339 91.196.7.46:61818 in via bge1 Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.86:1300 46.254.16.107:80 in via bge1 Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.127:51326 87.240.131.120:443 in via bge1 Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.86:1340 92.52.187.70:11577 in via bge1 Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny UDP 10.128.10.154:62985 50.157.178.60:51622 in via bge1 Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny UDP 10.128.10.154:62985 178.93.145.0:37648 in via bge1 Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny UDP 10.128.10.154:62985 36.63.30.85:11264 in via bge1 Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny UDP 10.128.10.154:62985 118.176.107.134:61455 in via bge1 Сразу капец : swi1: net - 100 % Так не логируй этот мусор. Именно на большом потоке скорее всего из-за логирования он и крешит систему. И вообще убивай его еще на первых правилах файрвола. Это не dos, это банальный выход в инет с сети 10.128.10.00.24 (почему она не прибита по входу из bge1?). А поскольку в нат эта сеть не заворачивается она петляет файрволом и дохнет на его последнем правиле. Відредаговано 2015-02-16 17:07:08 kha0s Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-16 17:28:41 Автор Share Опубліковано: 2015-02-16 17:28:41 В 16.02.2015 в 17:01, kha0s сказав: В 16.02.2015 в 16:08, kvirtu сказав: В 16.02.2015 в 15:56, kha0s сказав: Ничего не понимаю - почему в выводе ipfw show нету правил с последнего поста? Файрвол и абилс с его натом и шейпером в разных вселенных живут? http://abills.net.ua/wiki/doku.php/abills:docs:manual:ng_car я знаю что такое ng_car. Я о том что : В 16.02.2015 в 15:42, kvirtu сказав: 10000 netgraph tablearg ip from table(10) to any in recv ng* 10010 netgraph tablearg ip from any to table(11) out xmit ng* 10020 allow ip from table(9) to any in recv ng* 10025 allow ip from any to table(9) out xmit ng* ABillS NAT start NAT start ipfw nat 21 config ip х.х.х.х log 60010 nat tablearg ip from table(34) to any via bge0 01020 nat tablearg ip from any to table(33) via bge0 in Почему в листинге ipfw show что выше я не вижу правил номер: 10000, 10010, 10020, 10025, 60010 и 01020. Они хоть и динамически, но добавляются и в живом листинге обязаны присутствовать. Я однако, в тот момент шейпера выключил. вот: Відновити прихований контент 00005 844 65238 fwd 10.128.10.1 tcp from 172.16.30.0/24 to any 00010 16606 2670152 allow ip from any to any via lo0 00015 0 0 deny ip from any to 127.0.0.0/8 00030 0 0 check-state 00040 0 0 reject log logamount 100 tcp from any to any tcpflags syn,fin,ack,psh,rst,urg 00041 5 260 reject log logamount 100 tcp from any to any tcpflags !syn,!fin,!ack,!psh,!rst,!urg 00042 0 0 reject log logamount 100 tcp from any to any not established tcpflags fin 00043 2543 191581 deny log logamount 100 ip from any to any not verrevpath in via bge0 00044 544 24965 deny tcp from any to any tcpoptions !mss setup 00045 167 9352 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17 00050 21 1638 deny udp from any 135-139 to any via bge0 00051 0 0 deny tcp from any 135-139,445 to any via bge0 00052 2 301 deny udp from any to any dst-port 135-139 via bge0 00053 1 64 deny tcp from any to any dst-port 135-139,445 via bge0 00054 20894 1710422 deny udp from any 135-139 to any via bge1 00055 0 0 deny tcp from any 135-139,445 to any via bge1 00056 2 156 deny udp from any to any dst-port 135-139 via bge1 00057 4 240 deny tcp from any to any dst-port 135-139,445 via bge1 00065 5 272 deny tcp from 10.128.10.0/23 to any dst-port 25 00066 0 0 deny tcp from 172.16.20.0/23 to any dst-port 25 00070 7057 1823086 allow tcp from me to any keep-state 00071 124773 12289001 allow udp from me to any keep-state 00072 6284 1281580 allow icmp from me to any out icmptypes 0,3,8 keep-state 00080 29395 6442791 allow tcp from any to me dst-port 80,9443 keep-state 00082 4422 1205736 allow tcp from any to me dst-port 3301,3503 keep-state 00095 243872 21609284 allow udp from any to me dst-port 53 keep-state 00100 124811 12278570 allow icmp from any to me in via bge0 icmptypes 0,3,8 keep-state 00101 0 0 allow icmp from any to me in via re0 icmptypes 0,3,8 keep-state 00102 62 8871 allow icmp from any to me in via bge1 icmptypes 0,3,8 keep-state 00103 0 0 deny log logamount 100 icmp from any to me in via bge0 icmptypes 5,9,13,14,16,17 01020 29194367 32303718863 nat tablearg ip from any to table(33) via bge0 in 01020 0 0 nat tablearg ip from any to table(33) via bge0 in 01020 0 0 nat tablearg ip from any to table(33) via bge0 in 01020 0 0 nat tablearg ip from any to table(33) via bge0 in 01020 0 0 nat tablearg ip from any to table(33) via bge0 in 09970 0 0 skipto 10130 ip from table(14) to table(3) in recv ng* 09975 0 0 skipto 10135 ip from table(3) to table(15) out xmit ng* 09980 0 0 skipto 10120 ip from table(12) to table(2) in recv ng* 09985 0 0 skipto 10125 ip from table(2) to table(13) out xmit ng* 10000 5179308 1398294708 netgraph tablearg ip from table(10) to any in recv ng* 10010 6341748 7074326152 netgraph tablearg ip from any to table(11) out xmit ng* 10020 0 0 allow ip from table(9) to any in recv ng* 10025 0 0 allow ip from any to table(9) out xmit ng* 10120 0 0 netgraph tablearg ip from table(12) to any in recv ng* 10125 0 0 netgraph tablearg ip from any to table(13) out xmit ng* 10130 0 0 netgraph tablearg ip from table(14) to any in recv ng* 10135 0 0 netgraph tablearg ip from any to table(15) out xmit ng* 10220 0 0 allow ip from table(9) to table(2) in recv ng* 10225 0 0 allow ip from table(2) to table(9) out xmit ng* 10230 0 0 allow ip from table(9) to table(3) in recv ng* 10235 0 0 allow ip from table(3) to table(9) out xmit ng* 60010 5164460 1390721671 nat tablearg ip from table(34) to any via bge0 65060 81736 59269868 nat 1 ip from any to any via bge0 65061 50215 7963683 allow ip from 172.16.20.0/23 to any 65062 53754 59583135 allow ip from any to 172.16.20.0/23 65532 950 77196 allow tcp from any to any established 65533 5279 1418102 deny ip from any to 255.255.255.255 65534 175702 10473382 deny log logamount 100 ip from any to any 65535 708270 207560603 allow ip from any to any Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-16 17:31:52 Автор Share Опубліковано: 2015-02-16 17:31:52 В 16.02.2015 в 17:04, kha0s сказав: В 16.02.2015 в 16:22, kvirtu сказав: Может я и ошибась, но меня вроде досят из сетки. Вот сейчас все нормально: сессой онлайн более 100 , траффик примерно 60 Мбит, в /var/log/security - ничего не сыпется. Как только в логи сыпется из локалки : Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.86:1339 91.196.7.46:61818 in via bge1 Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.86:1300 46.254.16.107:80 in via bge1 Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.127:51326 87.240.131.120:443 in via bge1 Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.86:1340 92.52.187.70:11577 in via bge1 Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny UDP 10.128.10.154:62985 50.157.178.60:51622 in via bge1 Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny UDP 10.128.10.154:62985 178.93.145.0:37648 in via bge1 Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny UDP 10.128.10.154:62985 36.63.30.85:11264 in via bge1 Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny UDP 10.128.10.154:62985 118.176.107.134:61455 in via bge1 Сразу капец : swi1: net - 100 % Так не логируй этот мусор. Именно на большом потоке скорее всего из-за логирования он и крешит систему. И вообще убивай его еще на первых правилах файрвола. Это не dos, это банальный выход в инет с сети 10.128.10.00.24 (почему она не прибита по входу из bge1?). А поскольку в нат эта сеть не заворачивается она петляет файрволом и дохнет на его последнем правиле. так я уже ж все правила убирал, кроме НАТа - нагрузка не спадала. А так видно чьи компы делают "каку". Будем идти в гости Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас