Jump to content

FreeBSD 7.2 - Высокий load averages

kvirtu

By kvirtu,
in System integrity

 Share Followers 3

Recommended Posts

kvirtu

kvirtu 315

Posted
  • Author
Posted

Впринципе без разницы - что мучать нат, потом жать, что наоборот.

понял,

щас перезапущу правила,

понаблюдаем

Link to post
Share on other sites
  • Replies 321
  • Created
  • Last Reply

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

KaYot

До перехода на линукс все ещё не созрели? Если есть другой комплект железа - разверните все тоже под линуксами и потестируйте. Кто-то вон даже помощь предлагал.

KaYot

Видите, на каждой странице звучат призывы переходить на linux. И это не холивар или попытки под№"%ть - такова суровая реальность. Допускаю что по всем параметрам системы примерно равны и непринципиа

Ромка

Оффтоп. Собирался как-то было дело freebsd по изучать, для общего развития, всё руки не доходили. Вы меня убедили что оно того не стОит. Спасибо ребята за топик!

Posted Images

kvirtu

kvirtu 315

Posted
  • Author
Posted

подскажите еще, плиз, траффик с ng - интерфейсов тоже надо пропускать ?

В логах проскакивает:

Feb 17 16:19:56 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.128:1234 54.169.110.149:80 in via ng27
Feb 17 16:19:56 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.128:1228 157.56.126.190:443 in via ng27
Feb 17 16:20:02 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.128:1234 54.169.110.149:80 in via ng27
Feb 17 16:20:41 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.207:1065 10.40.40.10:3128 in via ng117
Feb 17 16:20:44 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.207:1067 194.44.4.208:80 in via ng117
Feb 17 16:20:49 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.207:1067 194.44.4.208:80 in via ng117
 

Link to post
Share on other sites
kha0s

kha0s 112

Posted
Posted (edited)

А вот для ng предназначен волшебный параметр verrevpath который, кстати, где-то в ваших правилах мелькал ну совсем не к месту. Применение его на "магистральных" инт-сах без понимания самоубийство и диверсия. Он вырежет весь мусор от клиента сам.

 

${fwcmd} add 10 deny ip from any to any not verrevpath in  recv ng\*

${fwcmd} add 11 deny ip from any to any not verrevpath in  recv bge1

Edited by kha0s
Link to post
Share on other sites
kvirtu

kvirtu 315

Posted
  • Author
Posted (edited)

А вот для ng предназначен волшебный параметр verrevpath который, кстати, где-то в ваших правилах мелькал ну совсем не к месту. Применение его на "магистральных" инт-сах без понимания самоубийство и диверсия. Он вырежет весь мусор от клиента сам.

 

${fwcmd} add 10 deny ip from any to any not verrevpath in  recv ng\*

${fwcmd} add 11 deny ip from any to any not verrevpath in  recv bge1

вот текущие правила:

 

 

#!/bin/sh

#

fwcmd='/sbin/ipfw -q'

#

${fwcmd} -f flush

${fwcmd} -f queue flush

${fwcmd} -f pipe flush

#

${fwcmd} add 005 fwd 10.128.10.1 tcp from 172.16.30.0/24 to any

# Loopback

${fwcmd} add 10 allow all from any to any via lo0

${fwcmd} add 15 deny all from any to 127.0.0.0/8

${fwcmd} add 20 deny ip from 127.0.0.0/8 to any

#

${fwcmd} add 30 check-state

# Запрет X-сканирования:

${fwcmd} add 40 reject log tcp from any to any tcpflags fin, syn, rst, psh, ack, urg

# Запрет N-сканирования:

${fwcmd} add 41 reject log tcp from any to any tcpflags !fin, !syn, !rst, !psh, !ack, !urg

# Запрет FIN-сканирования:

${fwcmd} add 42 reject log tcp from any to any not established tcpflags fin

# Защита от спуфинга (подмена адреса отправителя)

#${fwcmd} add 43 deny log ip from any to any not verrevpath in via bge0

# block some DOS attacks.

${fwcmd} add 44 deny tcp from any to any tcpoptions !mss tcpflags syn,!ack

# Drop icmp

${fwcmd} add 45 deny icmp from any to any in icmptype 5,9,13,14,15,16,17

#External interface Netbios BLOCK

${fwcmd} add 50 deny udp from any 135-139 to any via bge0 # netbios низя

${fwcmd} add 51 deny tcp from any 135-139,445 to any via bge0 # netbios низя

${fwcmd} add 52 deny udp from any to any 135-139 via bge0 # netbios низя

${fwcmd} add 53 deny tcp from any to any 135-139,445 via bge0 # netbios

#Internal interface Netbios BLOCK

#${fwcmd} add 54 deny udp from any 135-139 to any via bge1 # netbios низя

#${fwcmd} add 55 deny tcp from any 135-139,445 to any via bge1 # netbios низя

#${fwcmd} add 56 deny udp from any to any 135-139 via bge1 # netbios низя

#${fwcmd} add 57 deny tcp from any to any 135-139,445 via bge1 # netbios

#${fwcmd} add 50 allow ip from any to any via bge1 // sam k sebe

###

${fwcmd} add 55 allow tcp from 10.128.10.0/23 to me dst-port 80 in recv bge1 // localka k nashemu www

${fwcmd} add 56 allow udp from 10.128.10.0/23 to me dst-port 53 in recv bge1 // localka v nash DNS

${fwcmd} add 57 skipto 65 ip from 172.16.20.0/23 to any in recv bge1 // PPPoE idet dalshe

${fwcmd} add 58 skipto 65 ip from 172.16.30.0/24 to any in recv bge1 // Dolgniki

${fwcmd} add 59 deny ip from any to any in recv bge1 // ostalnoe rezhem

#Mail Deny

${fwcmd} add 65 deny tcp from 10.128.10.0/23 to any 25

${fwcmd} add 66 deny tcp from 172.16.20.0/23 to any 25

# рубим автоконфигуреную частную сеть

###${fwcmd} add 67 deny ip from 169.254.0.0/16 to any

# разрешить весь выходящий трафик

${fwcmd} add 70 allow tcp from me to any keep-state

${fwcmd} add 71 allow udp from me to any keep-state

#Traceroute fo system

#${fwcmd} add 72 allow icmp from me to any out via bge0 icmptype 0,3,8,11,12 keep-state

${fwcmd} add 72 allow icmp from me to any out icmptype 0,3,8 keep-state

# Allow in me from any

${fwcmd} add 80 allow tcp from any to me 80,9443 keep-state

${fwcmd} add 82 allow tcp from any to me 3301,3503 keep-state

${fwcmd} add 95 allow udp from any to me 53 keep-state

${fwcmd} add 100 allow icmp from any to me in via bge0 icmptype 0,3,8 keep-state

${fwcmd} add 101 allow icmp from any to me in via re0 icmptype 0,3,8 keep-state

${fwcmd} add 102 allow icmp from any to me in via bge1 icmptype 0,3,8 keep-state

${fwcmd} add 103 deny log icmp from any to me in via bge0 icmptype 5,9,13,14,16,17

# NAT

${fwcmd} nat 1 config if bge0 log same_ports deny_in unreg_only

#${fwcmd} add 65055 nat 1 ip from 172.16.20.0/24 to any

${fwcmd} add 65060 nat 1 ip from any to any via bge0

#${fwcmd} add 65060 nat 1 ip from 172.16.20.0/24 to any

${fwcmd} add 65061 allow ip from 172.16.20.0/23 to any

${fwcmd} add 65062 allow ip from any to 172.16.20.0/23

#

${fwcmd} add 65530 allow ip from me to any

# разрешаем tcp-пакеты по уже установленным соединениям

${fwcmd} add 65532 allow tcp from any to any established

# Broadcasts are denied and not logged.

${fwcmd} add 65533 deny all from any to 255.255.255.255

# Deny All

${fwcmd} add 65534 deny log all from any to any

 

 

 

ПЫ.СЫ. Звонил танкист - нет связи с сервером

Edited by kvirtu
Link to post
Share on other sites
kha0s

kha0s 112

Posted
Posted (edited)

43 правило заменить на:

 

${fwcmd} add 12 deny ip from any to any not antispoof in

 

5-е правило, кстати, зачем?

Edited by kha0s
Link to post
Share on other sites
kha0s

kha0s 112

Posted
Posted

Да, 50 надо изменить, тут аналогия с lo0 не прокатит.  65055 вроде как лишнее -  65060 должно в обе стороны пакеты в нат заворачивать по идее.

Link to post
Share on other sites
kvirtu

kvirtu 315

Posted
  • Author
Posted

Да, 50 надо изменить, тут аналогия с lo0 не прокатит.  65055 вроде как лишнее -  65060 должно в обе стороны пакеты в нат заворачивать по идее.

подскажите плиз по правилу "50"

Link to post
Share on other sites
kvirtu

kvirtu 315

Posted
  • Author
Posted

Да убрать его совсем и проверить есть ли доступ к IP что на том инт-се навешано.

не я проверял прямо с сервака, танки пингуються, а как через НАТ проверить не могу

Link to post
Share on other sites
kha0s

kha0s 112

Posted
Posted

Суть не в том - правило предполагало доступность IP на инт-се bge1 из вне, в том числе с самого сервера (мало там - вдруг нужно?)

Link to post
Share on other sites
kvirtu

kvirtu 315

Posted
  • Author
Posted

Суть не в том - правило предполагало доступность IP на инт-се bge1 из вне, в том числе с самого сервера (мало там - вдруг нужно?)

я понял, )

ну сейчас в /var/log/secuirty по правилу 65534 по bge1 чисто , по ng* тоже пока.

Link to post
Share on other sites
l1ght

l1ght 377

Posted
Posted (edited)

pmcstat -S instructions -O /tmp/sample.out &

sleep 30 && killall pmcstat

pmcstat -R /tmp/sample.out -g && gprof -l -K INSTR_RETIRED_ANY/kernel |head -n 60 | tail -n 25

 

тільки для початку kldload pmc

здається так повинно бути

Edited by L1ght
Link to post
Share on other sites
kvirtu

kvirtu 315

Posted
  • Author
Posted

 

pmcstat -S instructions -O /tmp/sample.out &

sleep 30 && killall pmcstat

pmcstat -R /tmp/sample.out -g && gprof -l -K INSTR_RETIRED_ANY/kernel |head -n 60 | tail -n 25

 

тільки для початку kldload pmc

здається так повинно бути

 

kldload: can't load pmc: No such file or directory

 

Link to post
Share on other sites
Ромка

Ромка 567

Posted
Posted

Оффтоп.

Собирался как-то было дело freebsd по изучать, для общего развития, всё руки не доходили. Вы меня убедили что оно того не стОит.

Спасибо ребята за топик!

Link to post
Share on other sites
kvirtu

kvirtu 315

Posted
  • Author
Posted

Оффтоп.

Собирался как-то было дело freebsd по изучать, для общего развития, всё руки не доходили. Вы меня убедили что оно того не стОит.

Спасибо ребята за топик!

 

пришло железо, завтра утром буду менять - отпишусь

Link to post
Share on other sites
Ромка

Ромка 567

Posted
Posted (edited)

 

Оффтоп.

Собирался как-то было дело freebsd по изучать, для общего развития, всё руки не доходили. Вы меня убедили что оно того не стОит.

Спасибо ребята за топик!

 

пришло железо, завтра утром буду менять - отпишусь

 

Ждём...

post-15548-0-60063100-1424191908.gif

Edited by Ромка
Link to post
Share on other sites
l1ght

l1ght 377

Posted
Posted

 

 

pmcstat -S instructions -O /tmp/sample.out &

sleep 30 && killall pmcstat

pmcstat -R /tmp/sample.out -g && gprof -l -K INSTR_RETIRED_ANY/kernel |head -n 60 | tail -n 25

 

тільки для початку kldload pmc

здається так повинно бути

 

kldload: can't load pmc: No such file or directory

 

 

так вибачаюсь, hwpmc, але гугл могли і ви відкрити  :P

Link to post
Share on other sites
l1ght

l1ght 377

Posted
Posted

Оффтоп.

Собирался как-то было дело freebsd по изучать, для общего развития, всё руки не доходили. Вы меня убедили что оно того не стОит.

Спасибо ребята за топик!

І фря і лінух чудово працюють, з чим саме вам працювати - питання релігії ;)

Link to post
Share on other sites
kvirtu

kvirtu 315

Posted
  • Author
Posted

 

 

 

pmcstat -S instructions -O /tmp/sample.out &

sleep 30 && killall pmcstat

pmcstat -R /tmp/sample.out -g && gprof -l -K INSTR_RETIRED_ANY/kernel |head -n 60 | tail -n 25

 

тільки для початку kldload pmc

здається так повинно бути

 

kldload: can't load pmc: No such file or directory

 

 

так вибачаюсь, hwpmc, але гугл могли і ви відкрити  :P

 

та я одним глазом на форум, вторым на консоли сервака.

 

 

Оффтоп.

Собирался как-то было дело freebsd по изучать, для общего развития, всё руки не доходили. Вы меня убедили что оно того не стОит.

Спасибо ребята за топик!

 

пришло железо, завтра утром буду менять - отпишусь

 

Ждём...

attachicon.gifcats_05.gif

 

а чего сразу драма ? :)

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Followers 3
Go to topic listing

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...