FreeBSD 7.2 - Высокий load averages

[kvirtu 315]

Впринципе без разницы - что мучать нат, потом жать, что наоборот.

понял,

щас перезапущу правила,

понаблюдаем

[kvirtu 315]

подскажите еще, плиз, траффик с ng - интерфейсов тоже надо пропускать ?

В логах проскакивает:

Feb 17 16:19:56 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.128:1234 54.169.110.149:80 in via ng27
Feb 17 16:19:56 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.128:1228 157.56.126.190:443 in via ng27
Feb 17 16:20:02 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.128:1234 54.169.110.149:80 in via ng27
Feb 17 16:20:41 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.207:1065 10.40.40.10:3128 in via ng117
Feb 17 16:20:44 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.207:1067 194.44.4.208:80 in via ng117
Feb 17 16:20:49 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.207:1067 194.44.4.208:80 in via ng117
 

[kha0s 112]

А вот для ng предназначен волшебный параметр verrevpath который, кстати, где-то в ваших правилах мелькал ну совсем не к месту. Применение его на "магистральных" инт-сах без понимания самоубийство и диверсия. Он вырежет весь мусор от клиента сам.

 

${fwcmd} add 10 deny ip from any to any not verrevpath in  recv ng\*

${fwcmd} add 11 deny ip from any to any not verrevpath in  recv bge1

Відредаговано 2015-02-17 14:45:41 kha0s

[kvirtu 315]

А вот для ng предназначен волшебный параметр verrevpath который, кстати, где-то в ваших правилах мелькал ну совсем не к месту. Применение его на "магистральных" инт-сах без понимания самоубийство и диверсия. Он вырежет весь мусор от клиента сам.

 

${fwcmd} add 10 deny ip from any to any not verrevpath in  recv ng\*

${fwcmd} add 11 deny ip from any to any not verrevpath in  recv bge1

вот текущие правила:

 

 

#!/bin/sh

#

fwcmd='/sbin/ipfw -q'

#

${fwcmd} -f flush

${fwcmd} -f queue flush

${fwcmd} -f pipe flush

#

${fwcmd} add 005 fwd 10.128.10.1 tcp from 172.16.30.0/24 to any

# Loopback

${fwcmd} add 10 allow all from any to any via lo0

${fwcmd} add 15 deny all from any to 127.0.0.0/8

${fwcmd} add 20 deny ip from 127.0.0.0/8 to any

#

${fwcmd} add 30 check-state

# Запрет X-сканирования:

${fwcmd} add 40 reject log tcp from any to any tcpflags fin, syn, rst, psh, ack, urg

# Запрет N-сканирования:

${fwcmd} add 41 reject log tcp from any to any tcpflags !fin, !syn, !rst, !psh, !ack, !urg

# Запрет FIN-сканирования:

${fwcmd} add 42 reject log tcp from any to any not established tcpflags fin

# Защита от спуфинга (подмена адреса отправителя)

#${fwcmd} add 43 deny log ip from any to any not verrevpath in via bge0

# block some DOS attacks.

${fwcmd} add 44 deny tcp from any to any tcpoptions !mss tcpflags syn,!ack

# Drop icmp

${fwcmd} add 45 deny icmp from any to any in icmptype 5,9,13,14,15,16,17

#External interface Netbios BLOCK

${fwcmd} add 50 deny udp from any 135-139 to any via bge0 # netbios низя

${fwcmd} add 51 deny tcp from any 135-139,445 to any via bge0 # netbios низя

${fwcmd} add 52 deny udp from any to any 135-139 via bge0 # netbios низя

${fwcmd} add 53 deny tcp from any to any 135-139,445 via bge0 # netbios

#Internal interface Netbios BLOCK

#${fwcmd} add 54 deny udp from any 135-139 to any via bge1 # netbios низя

#${fwcmd} add 55 deny tcp from any 135-139,445 to any via bge1 # netbios низя

#${fwcmd} add 56 deny udp from any to any 135-139 via bge1 # netbios низя

#${fwcmd} add 57 deny tcp from any to any 135-139,445 via bge1 # netbios

#${fwcmd} add 50 allow ip from any to any via bge1 // sam k sebe

###

${fwcmd} add 55 allow tcp from 10.128.10.0/23 to me dst-port 80 in recv bge1 // localka k nashemu www

${fwcmd} add 56 allow udp from 10.128.10.0/23 to me dst-port 53 in recv bge1 // localka v nash DNS

${fwcmd} add 57 skipto 65 ip from 172.16.20.0/23 to any in recv bge1 // PPPoE idet dalshe

${fwcmd} add 58 skipto 65 ip from 172.16.30.0/24 to any in recv bge1 // Dolgniki

${fwcmd} add 59 deny ip from any to any in recv bge1 // ostalnoe rezhem

#Mail Deny

${fwcmd} add 65 deny tcp from 10.128.10.0/23 to any 25

${fwcmd} add 66 deny tcp from 172.16.20.0/23 to any 25

# рубим автоконфигуреную частную сеть

###${fwcmd} add 67 deny ip from 169.254.0.0/16 to any

# разрешить весь выходящий трафик

${fwcmd} add 70 allow tcp from me to any keep-state

${fwcmd} add 71 allow udp from me to any keep-state

#Traceroute fo system

#${fwcmd} add 72 allow icmp from me to any out via bge0 icmptype 0,3,8,11,12 keep-state

${fwcmd} add 72 allow icmp from me to any out icmptype 0,3,8 keep-state

# Allow in me from any

${fwcmd} add 80 allow tcp from any to me 80,9443 keep-state

${fwcmd} add 82 allow tcp from any to me 3301,3503 keep-state

${fwcmd} add 95 allow udp from any to me 53 keep-state

${fwcmd} add 100 allow icmp from any to me in via bge0 icmptype 0,3,8 keep-state

${fwcmd} add 101 allow icmp from any to me in via re0 icmptype 0,3,8 keep-state

${fwcmd} add 102 allow icmp from any to me in via bge1 icmptype 0,3,8 keep-state

${fwcmd} add 103 deny log icmp from any to me in via bge0 icmptype 5,9,13,14,16,17

# NAT

${fwcmd} nat 1 config if bge0 log same_ports deny_in unreg_only

#${fwcmd} add 65055 nat 1 ip from 172.16.20.0/24 to any

${fwcmd} add 65060 nat 1 ip from any to any via bge0

#${fwcmd} add 65060 nat 1 ip from 172.16.20.0/24 to any

${fwcmd} add 65061 allow ip from 172.16.20.0/23 to any

${fwcmd} add 65062 allow ip from any to 172.16.20.0/23

#

${fwcmd} add 65530 allow ip from me to any

# разрешаем tcp-пакеты по уже установленным соединениям

${fwcmd} add 65532 allow tcp from any to any established

# Broadcasts are denied and not logged.

${fwcmd} add 65533 deny all from any to 255.255.255.255

# Deny All

${fwcmd} add 65534 deny log all from any to any

 

 

 

ПЫ.СЫ. Звонил танкист - нет связи с сервером

Відредаговано 2015-02-17 14:49:15 kvirtu

[kha0s 112]

43 правило заменить на:

 

${fwcmd} add 12 deny ip from any to any not antispoof in

 

5-е правило, кстати, зачем?

Відредаговано 2015-02-17 14:57:35 kha0s

[kvirtu 315]

43 правило убрать. Бессмысленное. Дефолт всегда подтвердит его.

да, убрал сегодня утром,

[kvirtu 315]

блин, по ходу правило 50 надо убрать или модифицировать

[kha0s 112]

Да, 50 надо изменить, тут аналогия с lo0 не прокатит.  65055 вроде как лишнее -  65060 должно в обе стороны пакеты в нат заворачивать по идее.

[kvirtu 315]

Да, 50 надо изменить, тут аналогия с lo0 не прокатит.  65055 вроде как лишнее -  65060 должно в обе стороны пакеты в нат заворачивать по идее.

подскажите плиз по правилу "50"

[kha0s 112]

Да убрать его совсем и проверить есть ли доступ к IP что на том инт-се навешано.

[kvirtu 315]

Да убрать его совсем и проверить есть ли доступ к IP что на том инт-се навешано.

не я проверял прямо с сервака, танки пингуються, а как через НАТ проверить не могу

[kha0s 112]

Суть не в том - правило предполагало доступность IP на инт-се bge1 из вне, в том числе с самого сервера (мало там - вдруг нужно?)

[kvirtu 315]

Суть не в том - правило предполагало доступность IP на инт-се bge1 из вне, в том числе с самого сервера (мало там - вдруг нужно?)

я понял, )

ну сейчас в /var/log/secuirty по правилу 65534 по bge1 чисто , по ng* тоже пока.

[kvirtu 315]

щас опять скакануло ( , перезапустил шейпер попустило

Відредаговано 2015-02-17 16:17:16 kvirtu

[l1ght 377]

пройдіться профайлером, може показати підводне каміння.

[kvirtu 315]

пройдіться профайлером, може показати підводне каміння.

Я готов, а что именно ?

[l1ght 377]

pmcstat -S instructions -O /tmp/sample.out &

sleep 30 && killall pmcstat

pmcstat -R /tmp/sample.out -g && gprof -l -K INSTR_RETIRED_ANY/kernel |head -n 60 | tail -n 25

 

тільки для початку kldload pmc

здається так повинно бути

Відредаговано 2015-02-17 16:27:08 L1ght

[kvirtu 315]

 

pmcstat -S instructions -O /tmp/sample.out &

sleep 30 && killall pmcstat

pmcstat -R /tmp/sample.out -g && gprof -l -K INSTR_RETIRED_ANY/kernel |head -n 60 | tail -n 25

 

тільки для початку kldload pmc

здається так повинно бути

 

kldload: can't load pmc: No such file or directory

 

[Ромка 567]

Оффтоп.

Собирался как-то было дело freebsd по изучать, для общего развития, всё руки не доходили. Вы меня убедили что оно того не стОит.

Спасибо ребята за топик!

[kvirtu 315]

Оффтоп.

Собирался как-то было дело freebsd по изучать, для общего развития, всё руки не доходили. Вы меня убедили что оно того не стОит.

Спасибо ребята за топик!

 

пришло железо, завтра утром буду менять - отпишусь

[Ромка 567]

 

Оффтоп.

Собирался как-то было дело freebsd по изучать, для общего развития, всё руки не доходили. Вы меня убедили что оно того не стОит.

Спасибо ребята за топик!

 

пришло железо, завтра утром буду менять - отпишусь

 

Ждём...

Відредаговано 2015-02-17 16:52:23 Ромка

[l1ght 377]

 

 

pmcstat -S instructions -O /tmp/sample.out &

sleep 30 && killall pmcstat

pmcstat -R /tmp/sample.out -g && gprof -l -K INSTR_RETIRED_ANY/kernel |head -n 60 | tail -n 25

 

тільки для початку kldload pmc

здається так повинно бути

 

kldload: can't load pmc: No such file or directory

 

 

так вибачаюсь, hwpmc, але гугл могли і ви відкрити 

[l1ght 377]

Оффтоп.

Собирался как-то было дело freebsd по изучать, для общего развития, всё руки не доходили. Вы меня убедили что оно того не стОит.

Спасибо ребята за топик!

І фря і лінух чудово працюють, з чим саме вам працювати - питання релігії

[Al G 0]

Что говорят:

ipfw list

ipfw show

sysctl net.inet.ip.fw.one_pass

?

[kvirtu 315]

 

 

 

pmcstat -S instructions -O /tmp/sample.out &

sleep 30 && killall pmcstat

pmcstat -R /tmp/sample.out -g && gprof -l -K INSTR_RETIRED_ANY/kernel |head -n 60 | tail -n 25

 

тільки для початку kldload pmc

здається так повинно бути

 

kldload: can't load pmc: No such file or directory

 

 

так вибачаюсь, hwpmc, але гугл могли і ви відкрити 

 

та я одним глазом на форум, вторым на консоли сервака.

 

 

Оффтоп.

Собирался как-то было дело freebsd по изучать, для общего развития, всё руки не доходили. Вы меня убедили что оно того не стОит.

Спасибо ребята за топик!

 

пришло железо, завтра утром буду менять - отпишусь

 

Ждём...

cats_05.gif

 

а чего сразу драма ?