kvirtu Опубліковано: 17 лютого, 2015 Автор Опубліковано: 17 лютого, 2015 подскажите, плиз, правила, которые нафиг нужно снести ? Все в которых встречается слово state и предпоследнее (глобальный deny). Добавить те, что я ранее писал. Они хорошо отфильтруют мусор и не нагрузят зря систему. Как то я пропустил мимо о, что это же НАТ для такой тучи клиентов и весь он через состояния к тому-же крутится. понял, спс
kvirtu Опубліковано: 17 лютого, 2015 Автор Опубліковано: 17 лютого, 2015 подскажите, плиз, правила, которые нафиг нужно снести ? Все в которых встречается слово state и предпоследнее (глобальный deny). Добавить те, что я ранее писал. Они хорошо отфильтруют мусор и не нагрузят зря систему. Как то я пропустил мимо о, что это же НАТ для такой тучи клиентов и весь он через состояния к тому-же крутится. Если, эти ? то уже работают . ${fwcmd} add 50 allow ip from any to any via bge1 // sam k sebe ${fwcmd} add 50 allow tcp from 10.128.10.0/24 to me dst-port 80 in recv bge1 // localka k nashemu www ${fwcmd} add 50 allow udp from 10.128.10.0/24 to me dst-port 53 in recv bge1 // localka v nash DNS ${fwcmd} add 50 skipto 51 ip from 172.16.20.0/24 to any in recv bge1 // PPPoE idet dalshe ${fwcmd} add 50 deny ip from any to any in recv bge1 // ostalnoe rezhem Подразумевается что где-то после шейпера и ната присутствует: allow ip from me to any правило 65534 - удалил
kha0s Опубліковано: 17 лютого, 2015 Опубліковано: 17 лютого, 2015 Не, я о правилах с антиспуфингом и реверспаз.
kvirtu Опубліковано: 17 лютого, 2015 Автор Опубліковано: 17 лютого, 2015 Не, я о правилах с антиспуфингом и реверспаз. если не ... продублируйте , плиз я на сегодня спекся ... Всем спокойно ночи .
kha0s Опубліковано: 17 лютого, 2015 Опубліковано: 17 лютого, 2015 ${fwcmd} add 10 deny ip from any to any not verrevpath in ${fwcmd} add 11 deny ip from any to any not antispoof in Первое можно с уточнением входящего инт-са, как я показывал несколькими страницами ранее, но можно и глобально. На первое время можно с логированием ограничив количество однотипных записей через logamount.
kvirtu Опубліковано: 18 лютого, 2015 Автор Опубліковано: 18 лютого, 2015 (відредаговано) ${fwcmd} add 10 deny ip from any to any not verrevpath in ${fwcmd} add 11 deny ip from any to any not antispoof in Первое можно с уточнением входящего инт-са, как я показывал несколькими страницами ранее, но можно и глобально. На первое время можно с логированием ограничив количество однотипных записей через logamount. спс, добавил ${fwcmd} add 20 deny log ip from any to any not verrevpath in ${fwcmd} add 21 deny log ip from any to any not antispoof in а что делать с правилами check-state ? Відредаговано 18 лютого, 2015 kvirtu
kha0s Опубліковано: 18 лютого, 2015 Опубліковано: 18 лютого, 2015 а что делать с правилами check-state ? Забыть их на транзитных роутерах да еще и с натом.
kvirtu Опубліковано: 18 лютого, 2015 Автор Опубліковано: 18 лютого, 2015 а что делать с правилами check-state ? Забыть их на транзитных роутерах да еще и с натом. удалить ?
Al G Опубліковано: 18 лютого, 2015 Опубліковано: 18 лютого, 2015 (відредаговано) ${fwcmd} add 10 deny ip from any to any not verrevpath in ${fwcmd} add 11 deny ip from any to any not antispoof in Зачем? antispoof работает только для обслуживаемых сеток - аплинк и абоненты. И что там по udp подменять - днс? verrevpath - тоже крайне сомнительно. в итоге - +2 правила. Відредаговано 18 лютого, 2015 ZуXEL
KaYot Опубліковано: 18 лютого, 2015 Опубліковано: 18 лютого, 2015 Из-за 2(и даже 200) правил машина на таком смешном PPS тупить не может. Тут вероятно где-то биллинг создает корявые линейные правила для фаервола и/или шейпера. С вероятностью в 99% замена железа на что-то уровня i5-2500 под s1155(ну или сервер на 1366) проблему решит тупо за счет огромного запаса мощности.
kha0s Опубліковано: 18 лютого, 2015 Опубліковано: 18 лютого, 2015 antispoof работает только для обслуживаемых сеток - аплинк и абоненты. И что там по udp подменять - днс? verrevpath - тоже крайне сомнительно. У него с PPPoE приходят пакеты с src_ip локалки и наоборот (пару страниц назад в логах было видно). И всякий левонет типа 192.168.x.x с клиентских ng уберет. Надо. Я бы сказал - обязательно у всех на клиентских подключениях. Спуфинг тоже неплохо закрыть. Любой олень из инета может послать пакет с подделаным src_ip - типа с его же сервера. Лучше закрыться и не думать в каком сервисе это может боком выползти.
kvirtu Опубліковано: 18 лютого, 2015 Автор Опубліковано: 18 лютого, 2015 ${fwcmd} add 10 deny ip from any to any not verrevpath in ${fwcmd} add 11 deny ip from any to any not antispoof in Зачем?antispoof работает только для обслуживаемых сеток - аплинк и абоненты. И что там по udp подменять - днс? verrevpath - тоже крайне сомнительно. в итоге - +2 правила. вух, Из-за 2(и даже 200) правил машина на таком смешном PPS тупить не может. Тут вероятно где-то биллинг создает корявые линейные правила для фаервола и/или шейпера. С вероятностью в 99% замена железа на что-то уровня i5-2500 под s1155(ну или сервер на 1366) проблему решит тупо за счет огромного запаса мощности. Таки ДА, отключай шейпера от абилса - все стабилизируется
kha0s Опубліковано: 18 лютого, 2015 Опубліковано: 18 лютого, 2015 (відредаговано) Из-за 2(и даже 200) правил машина на таком смешном PPS тупить не может. 200? У него весь нат через стейты динамически в мир лезет. Пара сотен клиентов по паре сотен запросов. Достаточно, что-бы файрвол раком машину ставил? На этом фоне +- 10 правил вообще ничто. Відредаговано 18 лютого, 2015 kha0s
kvirtu Опубліковано: 18 лютого, 2015 Автор Опубліковано: 18 лютого, 2015 поехал менять железо поменял на HP G5 Xeon x3075 + igb сетевые: будем наблюдать
kvirtu Опубліковано: 18 лютого, 2015 Автор Опубліковано: 18 лютого, 2015 state правила надеюсь удалил? не еще, а како именно 30. которое ? 00030 check-state
kha0s Опубліковано: 18 лютого, 2015 Опубліковано: 18 лютого, 2015 Все правила в которых есть слово state. И завершающий deny (предпоследнее) тоже удалить. У тебя в файрволе образно говоря десятки тысяч правил. Это каждый входящий пакет эти десятки тысяч должен пройти. Урежь до пары десятков правил и думаю проблему забудешь. В правилах со state при прохождении через него пакета создается динамическое правило, которым надо обработать ответный пакет. У тебя НАТ. Представь что 10 клиентов запустило торрент скажем по 300-500 потоков. Каждый поток - отдельное правило в файрволе. Представь что клиентов таких больше сотни.
kvirtu Опубліковано: 18 лютого, 2015 Автор Опубліковано: 18 лютого, 2015 в фаере сейчас оставил только NAT&шейпер darnet# ipfw list 00010 allow ip from any to any via lo0 00015 deny ip from any to 127.0.0.0/8 01020 nat tablearg ip from any to table(33) via igb0 in 09970 skipto 10130 ip from table(14) to table(3) in recv ng* 09975 skipto 10135 ip from table(3) to table(15) out xmit ng* 09980 skipto 10120 ip from table(12) to table(2) in recv ng* 09985 skipto 10125 ip from table(2) to table(13) out xmit ng* 10000 netgraph tablearg ip from table(10) to any in recv ng* 10010 netgraph tablearg ip from any to table(11) out xmit ng* 10020 allow ip from table(9) to any in recv ng* 10025 allow ip from any to table(9) out xmit ng* 10120 netgraph tablearg ip from table(12) to any in recv ng* 10125 netgraph tablearg ip from any to table(13) out xmit ng* 10130 netgraph tablearg ip from table(14) to any in recv ng* 10135 netgraph tablearg ip from any to table(15) out xmit ng* 10220 allow ip from table(9) to table(2) in recv ng* 10225 allow ip from table(2) to table(9) out xmit ng* 10230 allow ip from table(9) to table(3) in recv ng* 10235 allow ip from table(3) to table(9) out xmit ng* 60010 nat tablearg ip from table(34) to any via igb0 65060 nat 1 ip from any to any via igb0 65061 allow ip from 172.16.20.0/23 to any 65062 allow ip from any to 172.16.20.0/23 65535 allow ip from any to any
KaYot Опубліковано: 18 лютого, 2015 Опубліковано: 18 лютого, 2015 Я об этом сразу говорил - почему что-то должно измениться от замены железа на такое же?
kha0s Опубліковано: 18 лютого, 2015 Опубліковано: 18 лютого, 2015 (відредаговано) 65061 b 65062 в этом случае лишние. Последнее правило и так всё пропустит. Вот на этом примере загрузка ipfw сужается до ната и шейпера. правила с табличками пока игнорирую - не зная что в них трудно предугадать логику поведения файрвола. Відредаговано 18 лютого, 2015 kha0s
kvirtu Опубліковано: 18 лютого, 2015 Автор Опубліковано: 18 лютого, 2015 сейчас упал: No buffer space available
kha0s Опубліковано: 18 лютого, 2015 Опубліковано: 18 лютого, 2015 Кому-то не хватило. То-ли нату то-ли шейперу поди. Надо читать рекомендации по обеих.
kvirtu Опубліковано: 18 лютого, 2015 Автор Опубліковано: 18 лютого, 2015 Кому-то не хватило. То-ли нату то-ли шейперу поди. Надо читать рекомендации по обеих. Хочу так сделать: ngctl: recv msg: No buffer space available Есть некоторые моменты, которые следует учесть, если ваш сервер имеет большое количество соединений. Например, можно столкнуться с ситуацией, когда при выводе комманды ngctl list будет выдававаться No buffer space available. Чтобы этого избежать следует добавить в /boot/loader.conf:kern.ipc.nmbclusters=16384kern.ipc.maxsockets=16384 net.graph.maxalloc=2048 kern.maxusers=512 kern.ipc.maxpipekva=32000000 в /etc/sysctl.conf:net.graph.maxdgram=128000net.graph.recvspace=128000
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас