kha0s 112 Опубліковано: 2015-02-16 17:32:12 Share Опубліковано: 2015-02-16 17:32:12 В любом случае - с правила 65534 надо убрать log logamount 100 вообще. Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-16 17:40:58 Автор Share Опубліковано: 2015-02-16 17:40:58 В любом случае - с правила 65534 надо убрать log logamount 100 вообще.тогда же логирования не будет ? Ссылка на сообщение Поделиться на других сайтах
KaYot 3 711 Опубліковано: 2015-02-16 21:24:08 Share Опубліковано: 2015-02-16 21:24:08 А нафиг оно вам? Человек 2 страницы пытается объяснить, что любое логгирование в фаерволе - зло, именно оно может ложить машину в самой безобидной ситуации. Сравните затраты на тупую маршрутизацию пакета, и затраты на разборку пакета в текст и запись строки в файл для каждого пакета. Ссылка на сообщение Поделиться на других сайтах
ttttt 195 Опубліковано: 2015-02-16 22:13:44 Share Опубліковано: 2015-02-16 22:13:44 Да не зло там log и вообще ничего не стоит если просто указано в правиле, зато удобно, когда нужно. Это все в мане написано, если что. А кому сильно интересно, можно исходник глянуть и убедиться. Как по мне, то в проблеме автора нет смысла рыться без профайлинга. И вообще дешевле заменить старое железо на современное, которое на порядок мощнее. Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-17 06:23:55 Автор Share Опубліковано: 2015-02-17 06:23:55 (відредаговано) Да не зло там log и вообще ничего не стоит если просто указано в правиле, зато удобно, когда нужно. Это все в мане написано, если что. А кому сильно интересно, можно исходник глянуть и убедиться. Как по мне, то в проблеме автора нет смысла рыться без профайлинга. И вообще дешевле заменить старое железо на современное, которое на порядок мощнее. Сетевые igb на подходе + не новый, но сервачек HP G5, CPU X3050 Відредаговано 2015-02-17 06:31:14 kvirtu Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-17 06:28:31 Автор Share Опубліковано: 2015-02-17 06:28:31 А нафиг оно вам? Человек 2 страницы пытается объяснить, что любое логгирование в фаерволе - зло, именно оно может ложить машину в самой безобидной ситуации. Сравните затраты на тупую маршрутизацию пакета, и затраты на разборку пакета в текст и запись строки в файл для каждого пакета. так уже писал же, в фаере в моменты скачков нагрузки оставлял только НАТ - не помогало. Вчера вечером , около 18 - был затык, и в логи сыпалось !!! отключил шейпер - инет кое-какой был у клиентов. Потом около 19 само собой стабилизировалось, в логи прекратило сыпать , при том что это как раз время ЧНН ? Ссылка на сообщение Поделиться на других сайтах
KaYot 3 711 Опубліковано: 2015-02-17 06:42:17 Share Опубліковано: 2015-02-17 06:42:17 Сетевые igb на подходе + не новый, но сервачек HP G5, CPU X3050Ну это реально какой-то мазохизм Поменяли e5400(2c/2.7Ghz, s775) на xeon 3075(2c/2.66Ghz, s775) и сейчас хотите поменять еще раз на xeon 3050(2c/2.1Ghz,s775)? Зачем? Возьмите сразу HP G6 на s1366, младшие модели на форуме у valrevan'a можно баксов за 300 взять, а разница в скорости между поколениями многократная. Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-17 06:56:58 Автор Share Опубліковано: 2015-02-17 06:56:58 (відредаговано) Сетевые igb на подходе + не новый, но сервачек HP G5, CPU X3050Ну это реально какой-то мазохизм Поменяли e5400(2c/2.7Ghz, s775) на xeon 3075(2c/2.66Ghz, s775) и сейчас хотите поменять еще раз на xeon 3050(2c/2.1Ghz,s775)? Зачем? Возьмите сразу HP G6 на s1366, младшие модели на форуме у valrevan'a можно баксов за 300 взять, а разница в скорости между поколениями многократная. на xeon 3075(2c/2.66Ghz, s775) еще не менял, сейчас стоит декстопная мать асус. Буду менять на G5+ Х3050, 2,6, 1333, 4 М Відредаговано 2015-02-17 06:57:51 kvirtu Ссылка на сообщение Поделиться на других сайтах
KaYot 3 711 Опубліковано: 2015-02-17 07:11:16 Share Опубліковано: 2015-02-17 07:11:16 Нет такого камня X3050. Есть просто 3050, слабенький старый камень. Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-17 07:20:22 Автор Share Опубліковано: 2015-02-17 07:20:22 Нет такого камня X3050. Есть просто 3050, слабенький старый камень. сори, обшибся: X3075, 2.66, 4M Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-17 11:14:23 Автор Share Опубліковано: 2015-02-17 11:14:23 Может я и ошибась, но меня вроде досят из сетки. Вот сейчас все нормально: сессой онлайн более 100 , траффик примерно 60 Мбит, в /var/log/security - ничего не сыпется. Как только в логи сыпется из локалки : Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.86:1339 91.196.7.46:61818 in via bge1 Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.86:1300 46.254.16.107:80 in via bge1 Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.127:51326 87.240.131.120:443 in via bge1 Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.86:1340 92.52.187.70:11577 in via bge1 Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny UDP 10.128.10.154:62985 50.157.178.60:51622 in via bge1 Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny UDP 10.128.10.154:62985 178.93.145.0:37648 in via bge1 Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny UDP 10.128.10.154:62985 36.63.30.85:11264 in via bge1 Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny UDP 10.128.10.154:62985 118.176.107.134:61455 in via bge1 Сразу капец : swi1: net - 100 % Подскажите, что может генерить подобную срань ? Ссылка на сообщение Поделиться на других сайтах
l1ght 377 Опубліковано: 2015-02-17 11:48:00 Share Опубліковано: 2015-02-17 11:48:00 http/torrent да відключіть вже netisr.... Ссылка на сообщение Поделиться на других сайтах
kha0s 112 Опубліковано: 2015-02-17 11:57:41 Share Опубліковано: 2015-02-17 11:57:41 Подскажите, что может генерить подобную срань ? Я уже писал кто - ищи выше. повторю в 3-й раз вопрос - почему этот траффик вообще покидает bge1? Ведь в нат ему я так понимаю низзя. Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-17 12:24:26 Автор Share Опубліковано: 2015-02-17 12:24:26 Подскажите, что может генерить подобную срань ? Я уже писал кто - ищи выше. повторю в 3-й раз вопрос - почему этот траффик вообще покидает bge1? Ведь в нат ему я так понимаю низзя. 10.128.10.х - локалка , 172.16.20.х - НАТ Выходит мне надо запретить до НАТа эту срань на bge1 ? Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-17 12:27:40 Автор Share Опубліковано: 2015-02-17 12:27:40 http/torrent да відключіть вже netisr.... top -SH | grep isr - ничего не вводит Ссылка на сообщение Поделиться на других сайтах
kha0s 112 Опубліковано: 2015-02-17 12:28:44 Share Опубліковано: 2015-02-17 12:28:44 С bge1 надо пропускать только то, что можно. Можно только 172.16.20.х ? Его в pass (пусть гуляет по правилам). Остальное - deny (и никаких логов). Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-17 12:43:18 Автор Share Опубліковано: 2015-02-17 12:43:18 (відредаговано) С bge1 надо пропускать только то, что можно. Можно только 172.16.20.х ? Его в pass (пусть гуляет по правилам). Остальное - deny (и никаких логов). эти правила:#Internal interface Netbios BLOCK${fwcmd} add 54 deny udp from any 135-139 to any via fxp1 # netbios ${fwcmd} add 55 deny tcp from any 135-139,445 to any via fxp1 # netbios ${fwcmd} add 56 deny udp from any to any 135-139 via fxp1 # netbios ${fwcmd} add 57 deny tcp from any to any 135-139,445 via fxp1 # netbios Поменять на эти ? ${fwcmd} add 54 deny udp from any to any 1-52,54-79,81-65355 via bge1 # ${fwcmd} add 55 deny tcp from any to any 1-52,54-79,81-65355 via bge1 # 172.16.20.х - это PPPOE Відредаговано 2015-02-17 12:45:03 kvirtu Ссылка на сообщение Поделиться на других сайтах
kha0s 112 Опубліковано: 2015-02-17 12:47:54 Share Опубліковано: 2015-02-17 12:47:54 Ну зачем столько паранойи? Запрещай доступ к тем сервисам, которые у тебя реально подняты. Не придется искать черных кошек в темных комнатах. Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-17 12:50:48 Автор Share Опубліковано: 2015-02-17 12:50:48 Ну зачем столько паранойи? Запрещай доступ к тем сервисам, которые у тебя реально подняты. Не придется искать черных кошек в темных комнатах. блин, ну так я разрешил доступ из локалки на 53 (днс) и 80 порт (локальный сайт) , остальное нафиг ? Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-17 12:52:13 Автор Share Опубліковано: 2015-02-17 12:52:13 http/torrent да відключіть вже netisr.... top -SH | grep isr - ничего не вводит у меня 7.2 так такого нет, сцылка Ссылка на сообщение Поделиться на других сайтах
kha0s 112 Опубліковано: 2015-02-17 13:03:02 Share Опубліковано: 2015-02-17 13:03:02 (відредаговано) Как-то так всё что касается bge1 (одним номером все правила для удобства): ${fwcmd} add 50 allow ip from any to any via bge1 // sam k sebe ${fwcmd} add 50 allow tcp from 10.128.10.0/24 to me dst-port 80 in recv bge1 // localka k nashemu www ${fwcmd} add 50 allow udp from 10.128.10.0/24 to me dst-port 53 in recv bge1 // localka v nash DNS ${fwcmd} add 50 skipto 51 ip from 172.16.20.0/24 to any in recv bge1 // PPPoE idet dalshe ${fwcmd} add 50 deny ip from any to any in recv bge1 // ostalnoe rezhem Подразумевается что где-то после шейпера и ната присутствует: allow ip from me to any Ну и лучше не привязываться к имени физического инт-са, в случае замены драйвера долго лазить везьде и искать чего менять. Назвать как-то для себя. Відредаговано 2015-02-17 13:05:49 kha0s Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-17 13:10:59 Автор Share Опубліковано: 2015-02-17 13:10:59 Как-то так всё что касается bge1 (одним номером все правила для удобства): ${fwcmd} add 50 allow ip from any to any via bge1 // sam k sebe ${fwcmd} add 50 allow tcp from 10.128.10.0/24 to me dst-port 80 in recv bge1 // localka k nashemu www ${fwcmd} add 50 allow udp from 10.128.10.0/24 to me dst-port 53 in recv bge1 // localka v nash DNS ${fwcmd} add 50 skipto 51 ip from 172.16.20.0/24 to any in recv bge1 // PPPoE idet dalshe ${fwcmd} add 50 deny ip from any to any in recv bge1 // ostalnoe rezhem Подразумевается что где-то после шейпера и ната присутствует: allow ip from me to any Ну и лучше не привязываться к имени физического инт-са, в случае замены драйвера долго лазить везьде и искать чего менять. Назвать как-то для себя. спс, ${fwcmd} add 50 skipto 51 ip from 172.16.20.0/24 to any in recv bge1 // PPPoE idet dalshe - 51 это след. правило ? Ссылка на сообщение Поделиться на других сайтах
kha0s 112 Опубліковано: 2015-02-17 13:13:36 Share Опубліковано: 2015-02-17 13:13:36 спс, ${fwcmd} add 50 skipto 51 ip from 172.16.20.0/24 to any in recv bge1 // PPPoE idet dalshe - 51 это след. правило ? Да, суть - перепрыгнуть завершающий deny и пойти дальше проверяться по правилам. Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-17 13:22:12 Автор Share Опубліковано: 2015-02-17 13:22:12 спс, ${fwcmd} add 50 skipto 51 ip from 172.16.20.0/24 to any in recv bge1 // PPPoE idet dalshe - 51 это след. правило ? Да, суть - перепрыгнуть завершающий deny и пойти дальше проверяться по правилам. понял, спс. У меня по правилам получаеться, что сначала идет шейпер, а потом НАТ - это правильно ? И получилось что после щейпера и НАТа 65530 allow ip from me to any Ссылка на сообщение Поделиться на других сайтах
kha0s 112 Опубліковано: 2015-02-17 13:34:28 Share Опубліковано: 2015-02-17 13:34:28 (відредаговано) Впринципе без разницы - что мучать нат, потом жать, что наоборот. Хотя по логике, если пакет наш - зачем его в нат пихать? Пусть сразу улетает на выходе из шейпера к клиенту. Т.е. allow ip from me to any поставить после шейпера но до ната. Лишняя нагрузка на нат ни к чему. Но при этом входящие пакеты соотв. тоже незачем заворачивать в нат, если они предназначены локальным IP (to me). Відредаговано 2015-02-17 13:38:32 kha0s Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас