Перейти до

Рекомендованные сообщения

Опубліковано:

 

подскажите, плиз, правила, которые нафиг нужно снести ?

 

Все в которых встречается слово state и предпоследнее (глобальный deny). Добавить те, что я ранее писал. Они хорошо отфильтруют мусор и не нагрузят зря систему. Как то я пропустил мимо о, что это же НАТ для такой тучи клиентов и весь он через состояния к тому-же крутится.

 

понял, спс

Опубліковано:

 

подскажите, плиз, правила, которые нафиг нужно снести ?

 

Все в которых встречается слово state и предпоследнее (глобальный deny). Добавить те, что я ранее писал. Они хорошо отфильтруют мусор и не нагрузят зря систему. Как то я пропустил мимо о, что это же НАТ для такой тучи клиентов и весь он через состояния к тому-же крутится.

 

Если, эти ?

то уже работают .

 

${fwcmd} add 50 allow ip from any to any via bge1 // sam k sebe

${fwcmd} add 50 allow tcp from 10.128.10.0/24 to me dst-port 80 in recv bge1 // localka k nashemu www

${fwcmd} add 50 allow udp from 10.128.10.0/24 to me dst-port 53 in recv bge1 // localka v nash DNS

${fwcmd} add 50 skipto 51 ip from 172.16.20.0/24 to any in recv bge1 // PPPoE idet dalshe

${fwcmd} add 50 deny ip from any to any in recv bge1 // ostalnoe rezhem

 

Подразумевается что где-то после шейпера и ната присутствует:

 

allow ip from me to any

 

правило 65534 - удалил

Опубліковано:

Не, я о правилах с антиспуфингом и реверспаз.

если не ...

продублируйте , плиз

 

я на сегодня спекся ...

Всем спокойно ночи .

Опубліковано:
${fwcmd} add 10 deny ip from any to any not verrevpath in

${fwcmd} add 11 deny ip from any to any not antispoof in

 

Первое можно с уточнением входящего инт-са, как я показывал несколькими страницами ранее, но можно и глобально. На первое время можно с логированием ограничив количество однотипных записей через logamount.

Опубліковано: (відредаговано)

 

${fwcmd} add 10 deny ip from any to any not verrevpath in
${fwcmd} add 11 deny ip from any to any not antispoof in
 
Первое можно с уточнением входящего инт-са, как я показывал несколькими страницами ранее, но можно и глобально. На первое время можно с логированием ограничив количество однотипных записей через logamount.

 

спс, добавил

${fwcmd} add 20 deny log ip from any to any not verrevpath in
${fwcmd} add 21 deny log ip from any to any not antispoof in
 
а что делать с правилами check-state ?
Відредаговано kvirtu
Опубліковано:

 

а что делать с правилами check-state ?

 

Забыть их на транзитных роутерах да еще и с натом.

 

удалить ?

Опубліковано: (відредаговано)

${fwcmd} add 10 deny ip from any to any not verrevpath in 

${fwcmd} add 11 deny ip from any to any not antispoof in

Зачем?

antispoof работает только для обслуживаемых сеток - аплинк и абоненты. И что там по udp подменять - днс?

verrevpath - тоже крайне сомнительно.

в итоге - +2 правила.

Відредаговано ZуXEL
Опубліковано:

Из-за 2(и даже 200) правил машина на таком смешном PPS тупить не может.

Тут вероятно где-то биллинг создает корявые линейные правила для фаервола и/или шейпера.

С вероятностью в 99% замена железа на что-то уровня i5-2500 под s1155(ну или сервер на 1366) проблему решит тупо за счет огромного запаса мощности.

Опубліковано:

 

 

antispoof работает только для обслуживаемых сеток - аплинк и абоненты. И что там по udp подменять - днс? verrevpath - тоже крайне сомнительно.

 

У него с PPPoE приходят пакеты с src_ip локалки и наоборот (пару страниц назад в логах было видно). И всякий левонет типа 192.168.x.x с клиентских ng уберет. Надо. Я бы сказал - обязательно у всех на клиентских подключениях. Спуфинг тоже неплохо закрыть. Любой олень из инета может послать пакет с подделаным src_ip - типа с его же сервера. Лучше закрыться и не думать в каком сервисе это может боком выползти.

Опубліковано:

 

${fwcmd} add 10 deny ip from any to any not verrevpath in 

${fwcmd} add 11 deny ip from any to any not antispoof in

Зачем?

antispoof работает только для обслуживаемых сеток - аплинк и абоненты. И что там по udp подменять - днс?

verrevpath - тоже крайне сомнительно.

в итоге - +2 правила.

 

вух,

 

Из-за 2(и даже 200) правил машина на таком смешном PPS тупить не может.

Тут вероятно где-то биллинг создает корявые линейные правила для фаервола и/или шейпера.

С вероятностью в 99% замена железа на что-то уровня i5-2500 под s1155(ну или сервер на 1366) проблему решит тупо за счет огромного запаса мощности.

Таки ДА, отключай шейпера от абилса - все стабилизируется

Опубліковано: (відредаговано)
Из-за 2(и даже 200) правил машина на таком смешном PPS тупить не может.

 

200? У него весь нат через стейты динамически в мир лезет. Пара сотен клиентов по паре сотен запросов. Достаточно, что-бы файрвол раком машину ставил? 

 

На этом фоне +- 10 правил вообще ничто.

Відредаговано kha0s
Опубліковано:

Все правила в которых есть слово state. И завершающий deny (предпоследнее) тоже удалить. У тебя в файрволе образно говоря десятки тысяч правил. Это каждый входящий пакет эти десятки тысяч должен пройти. Урежь до пары десятков правил и думаю проблему забудешь. В правилах со state при прохождении через него пакета создается динамическое правило, которым надо обработать ответный пакет. У тебя НАТ. Представь что 10 клиентов запустило торрент скажем по 300-500 потоков. Каждый поток - отдельное правило в файрволе. Представь что клиентов таких больше сотни.

Опубліковано:

в фаере сейчас оставил только NAT&шейпер

 

 

darnet# ipfw list

00010 allow ip from any to any via lo0

00015 deny ip from any to 127.0.0.0/8

01020 nat tablearg ip from any to table(33) via igb0 in

09970 skipto 10130 ip from table(14) to table(3) in recv ng*

09975 skipto 10135 ip from table(3) to table(15) out xmit ng*

09980 skipto 10120 ip from table(12) to table(2) in recv ng*

09985 skipto 10125 ip from table(2) to table(13) out xmit ng*

10000 netgraph tablearg ip from table(10) to any in recv ng*

10010 netgraph tablearg ip from any to table(11) out xmit ng*

10020 allow ip from table(9) to any in recv ng*

10025 allow ip from any to table(9) out xmit ng*

10120 netgraph tablearg ip from table(12) to any in recv ng*

10125 netgraph tablearg ip from any to table(13) out xmit ng*

10130 netgraph tablearg ip from table(14) to any in recv ng*

10135 netgraph tablearg ip from any to table(15) out xmit ng*

10220 allow ip from table(9) to table(2) in recv ng*

10225 allow ip from table(2) to table(9) out xmit ng*

10230 allow ip from table(9) to table(3) in recv ng*

10235 allow ip from table(3) to table(9) out xmit ng*

60010 nat tablearg ip from table(34) to any via igb0

65060 nat 1 ip from any to any via igb0

65061 allow ip from 172.16.20.0/23 to any

65062 allow ip from any to 172.16.20.0/23

65535 allow ip from any to any

 

 

Опубліковано: (відредаговано)

65061 b 65062 в этом случае лишние. Последнее правило и так всё пропустит. Вот на этом примере загрузка ipfw сужается до ната и шейпера. правила с табличками пока игнорирую - не зная что в них трудно предугадать логику поведения файрвола.

Відредаговано kha0s
Опубліковано:

Кому-то не хватило. То-ли нату то-ли шейперу поди. Надо читать рекомендации по обеих.

Хочу так сделать:

ngctl: recv msg: No buffer space available

Есть некоторые моменты, которые следует учесть, если ваш сервер имеет большое количество соединений. Например, можно столкнуться с ситуацией, когда при выводе комманды ngctl list будет выдававаться No buffer space available. Чтобы этого избежать следует добавить в /boot/loader.conf:

kern.ipc.nmbclusters=16384

kern.ipc.maxsockets=16384

net.graph.maxalloc=2048

kern.maxusers=512

kern.ipc.maxpipekva=32000000

в /etc/sysctl.conf:

net.graph.maxdgram=128000

net.graph.recvspace=128000

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
×
×
  • Створити нове...