kvirtu 315 Posted 2015-02-17 20:30:25 Author Share Posted 2015-02-17 20:30:25 подскажите, плиз, правила, которые нафиг нужно снести ? Все в которых встречается слово state и предпоследнее (глобальный deny). Добавить те, что я ранее писал. Они хорошо отфильтруют мусор и не нагрузят зря систему. Как то я пропустил мимо о, что это же НАТ для такой тучи клиентов и весь он через состояния к тому-же крутится. понял, спс Link to post Share on other sites
kvirtu 315 Posted 2015-02-17 20:40:25 Author Share Posted 2015-02-17 20:40:25 подскажите, плиз, правила, которые нафиг нужно снести ? Все в которых встречается слово state и предпоследнее (глобальный deny). Добавить те, что я ранее писал. Они хорошо отфильтруют мусор и не нагрузят зря систему. Как то я пропустил мимо о, что это же НАТ для такой тучи клиентов и весь он через состояния к тому-же крутится. Если, эти ? то уже работают . ${fwcmd} add 50 allow ip from any to any via bge1 // sam k sebe ${fwcmd} add 50 allow tcp from 10.128.10.0/24 to me dst-port 80 in recv bge1 // localka k nashemu www ${fwcmd} add 50 allow udp from 10.128.10.0/24 to me dst-port 53 in recv bge1 // localka v nash DNS ${fwcmd} add 50 skipto 51 ip from 172.16.20.0/24 to any in recv bge1 // PPPoE idet dalshe ${fwcmd} add 50 deny ip from any to any in recv bge1 // ostalnoe rezhem Подразумевается что где-то после шейпера и ната присутствует: allow ip from me to any правило 65534 - удалил Link to post Share on other sites
kha0s 112 Posted 2015-02-17 20:44:30 Share Posted 2015-02-17 20:44:30 Не, я о правилах с антиспуфингом и реверспаз. Link to post Share on other sites
kvirtu 315 Posted 2015-02-17 21:03:07 Author Share Posted 2015-02-17 21:03:07 Не, я о правилах с антиспуфингом и реверспаз. если не ... продублируйте , плиз я на сегодня спекся ... Всем спокойно ночи . Link to post Share on other sites
kha0s 112 Posted 2015-02-17 21:18:12 Share Posted 2015-02-17 21:18:12 ${fwcmd} add 10 deny ip from any to any not verrevpath in ${fwcmd} add 11 deny ip from any to any not antispoof in Первое можно с уточнением входящего инт-са, как я показывал несколькими страницами ранее, но можно и глобально. На первое время можно с логированием ограничив количество однотипных записей через logamount. Link to post Share on other sites
kvirtu 315 Posted 2015-02-18 06:51:43 Author Share Posted 2015-02-18 06:51:43 (edited) ${fwcmd} add 10 deny ip from any to any not verrevpath in ${fwcmd} add 11 deny ip from any to any not antispoof in Первое можно с уточнением входящего инт-са, как я показывал несколькими страницами ранее, но можно и глобально. На первое время можно с логированием ограничив количество однотипных записей через logamount. спс, добавил ${fwcmd} add 20 deny log ip from any to any not verrevpath in ${fwcmd} add 21 deny log ip from any to any not antispoof in а что делать с правилами check-state ? Edited 2015-02-18 06:55:57 by kvirtu Link to post Share on other sites
kha0s 112 Posted 2015-02-18 07:04:03 Share Posted 2015-02-18 07:04:03 а что делать с правилами check-state ? Забыть их на транзитных роутерах да еще и с натом. Link to post Share on other sites
kvirtu 315 Posted 2015-02-18 07:17:48 Author Share Posted 2015-02-18 07:17:48 а что делать с правилами check-state ? Забыть их на транзитных роутерах да еще и с натом. удалить ? Link to post Share on other sites
Al G 0 Posted 2015-02-18 07:18:09 Share Posted 2015-02-18 07:18:09 (edited) ${fwcmd} add 10 deny ip from any to any not verrevpath in ${fwcmd} add 11 deny ip from any to any not antispoof in Зачем? antispoof работает только для обслуживаемых сеток - аплинк и абоненты. И что там по udp подменять - днс? verrevpath - тоже крайне сомнительно. в итоге - +2 правила. Edited 2015-02-18 07:19:56 by ZуXEL Link to post Share on other sites
KaYot 3,707 Posted 2015-02-18 07:24:43 Share Posted 2015-02-18 07:24:43 Из-за 2(и даже 200) правил машина на таком смешном PPS тупить не может. Тут вероятно где-то биллинг создает корявые линейные правила для фаервола и/или шейпера. С вероятностью в 99% замена железа на что-то уровня i5-2500 под s1155(ну или сервер на 1366) проблему решит тупо за счет огромного запаса мощности. Link to post Share on other sites
kha0s 112 Posted 2015-02-18 07:25:05 Share Posted 2015-02-18 07:25:05 antispoof работает только для обслуживаемых сеток - аплинк и абоненты. И что там по udp подменять - днс? verrevpath - тоже крайне сомнительно. У него с PPPoE приходят пакеты с src_ip локалки и наоборот (пару страниц назад в логах было видно). И всякий левонет типа 192.168.x.x с клиентских ng уберет. Надо. Я бы сказал - обязательно у всех на клиентских подключениях. Спуфинг тоже неплохо закрыть. Любой олень из инета может послать пакет с подделаным src_ip - типа с его же сервера. Лучше закрыться и не думать в каком сервисе это может боком выползти. Link to post Share on other sites
kvirtu 315 Posted 2015-02-18 07:26:46 Author Share Posted 2015-02-18 07:26:46 ${fwcmd} add 10 deny ip from any to any not verrevpath in ${fwcmd} add 11 deny ip from any to any not antispoof in Зачем?antispoof работает только для обслуживаемых сеток - аплинк и абоненты. И что там по udp подменять - днс? verrevpath - тоже крайне сомнительно. в итоге - +2 правила. вух, Из-за 2(и даже 200) правил машина на таком смешном PPS тупить не может. Тут вероятно где-то биллинг создает корявые линейные правила для фаервола и/или шейпера. С вероятностью в 99% замена железа на что-то уровня i5-2500 под s1155(ну или сервер на 1366) проблему решит тупо за счет огромного запаса мощности. Таки ДА, отключай шейпера от абилса - все стабилизируется Link to post Share on other sites
kha0s 112 Posted 2015-02-18 07:29:56 Share Posted 2015-02-18 07:29:56 (edited) Из-за 2(и даже 200) правил машина на таком смешном PPS тупить не может. 200? У него весь нат через стейты динамически в мир лезет. Пара сотен клиентов по паре сотен запросов. Достаточно, что-бы файрвол раком машину ставил? На этом фоне +- 10 правил вообще ничто. Edited 2015-02-18 07:30:33 by kha0s Link to post Share on other sites
kvirtu 315 Posted 2015-02-18 08:03:57 Author Share Posted 2015-02-18 08:03:57 поехал менять железо Link to post Share on other sites
kvirtu 315 Posted 2015-02-18 11:27:33 Author Share Posted 2015-02-18 11:27:33 поехал менять железо поменял на HP G5 Xeon x3075 + igb сетевые: будем наблюдать Link to post Share on other sites
kha0s 112 Posted 2015-02-18 11:40:15 Share Posted 2015-02-18 11:40:15 state правила надеюсь удалил? Link to post Share on other sites
kvirtu 315 Posted 2015-02-18 11:49:56 Author Share Posted 2015-02-18 11:49:56 state правила надеюсь удалил? не еще, а како именно 30. которое ? 00030 check-state Link to post Share on other sites
kha0s 112 Posted 2015-02-18 12:03:39 Share Posted 2015-02-18 12:03:39 Все правила в которых есть слово state. И завершающий deny (предпоследнее) тоже удалить. У тебя в файрволе образно говоря десятки тысяч правил. Это каждый входящий пакет эти десятки тысяч должен пройти. Урежь до пары десятков правил и думаю проблему забудешь. В правилах со state при прохождении через него пакета создается динамическое правило, которым надо обработать ответный пакет. У тебя НАТ. Представь что 10 клиентов запустило торрент скажем по 300-500 потоков. Каждый поток - отдельное правило в файрволе. Представь что клиентов таких больше сотни. Link to post Share on other sites
kvirtu 315 Posted 2015-02-18 12:14:56 Author Share Posted 2015-02-18 12:14:56 опять Link to post Share on other sites
kvirtu 315 Posted 2015-02-18 12:22:21 Author Share Posted 2015-02-18 12:22:21 в фаере сейчас оставил только NAT&шейпер darnet# ipfw list 00010 allow ip from any to any via lo0 00015 deny ip from any to 127.0.0.0/8 01020 nat tablearg ip from any to table(33) via igb0 in 09970 skipto 10130 ip from table(14) to table(3) in recv ng* 09975 skipto 10135 ip from table(3) to table(15) out xmit ng* 09980 skipto 10120 ip from table(12) to table(2) in recv ng* 09985 skipto 10125 ip from table(2) to table(13) out xmit ng* 10000 netgraph tablearg ip from table(10) to any in recv ng* 10010 netgraph tablearg ip from any to table(11) out xmit ng* 10020 allow ip from table(9) to any in recv ng* 10025 allow ip from any to table(9) out xmit ng* 10120 netgraph tablearg ip from table(12) to any in recv ng* 10125 netgraph tablearg ip from any to table(13) out xmit ng* 10130 netgraph tablearg ip from table(14) to any in recv ng* 10135 netgraph tablearg ip from any to table(15) out xmit ng* 10220 allow ip from table(9) to table(2) in recv ng* 10225 allow ip from table(2) to table(9) out xmit ng* 10230 allow ip from table(9) to table(3) in recv ng* 10235 allow ip from table(3) to table(9) out xmit ng* 60010 nat tablearg ip from table(34) to any via igb0 65060 nat 1 ip from any to any via igb0 65061 allow ip from 172.16.20.0/23 to any 65062 allow ip from any to 172.16.20.0/23 65535 allow ip from any to any Link to post Share on other sites
KaYot 3,707 Posted 2015-02-18 12:26:48 Share Posted 2015-02-18 12:26:48 Я об этом сразу говорил - почему что-то должно измениться от замены железа на такое же? Link to post Share on other sites
kha0s 112 Posted 2015-02-18 12:27:42 Share Posted 2015-02-18 12:27:42 (edited) 65061 b 65062 в этом случае лишние. Последнее правило и так всё пропустит. Вот на этом примере загрузка ipfw сужается до ната и шейпера. правила с табличками пока игнорирую - не зная что в них трудно предугадать логику поведения файрвола. Edited 2015-02-18 12:29:03 by kha0s Link to post Share on other sites
kvirtu 315 Posted 2015-02-18 12:31:52 Author Share Posted 2015-02-18 12:31:52 сейчас упал: No buffer space available Link to post Share on other sites
kha0s 112 Posted 2015-02-18 12:36:22 Share Posted 2015-02-18 12:36:22 Кому-то не хватило. То-ли нату то-ли шейперу поди. Надо читать рекомендации по обеих. Link to post Share on other sites
kvirtu 315 Posted 2015-02-18 12:37:35 Author Share Posted 2015-02-18 12:37:35 Кому-то не хватило. То-ли нату то-ли шейперу поди. Надо читать рекомендации по обеих. Хочу так сделать: ngctl: recv msg: No buffer space available Есть некоторые моменты, которые следует учесть, если ваш сервер имеет большое количество соединений. Например, можно столкнуться с ситуацией, когда при выводе комманды ngctl list будет выдававаться No buffer space available. Чтобы этого избежать следует добавить в /boot/loader.conf:kern.ipc.nmbclusters=16384kern.ipc.maxsockets=16384 net.graph.maxalloc=2048 kern.maxusers=512 kern.ipc.maxpipekva=32000000 в /etc/sysctl.conf:net.graph.maxdgram=128000net.graph.recvspace=128000 Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now