Jump to content

FreeBSD 7.2 - Высокий load averages


Recommended Posts

 

подскажите, плиз, правила, которые нафиг нужно снести ?

 

Все в которых встречается слово state и предпоследнее (глобальный deny). Добавить те, что я ранее писал. Они хорошо отфильтруют мусор и не нагрузят зря систему. Как то я пропустил мимо о, что это же НАТ для такой тучи клиентов и весь он через состояния к тому-же крутится.

 

понял, спс

Link to post
Share on other sites
  • Replies 321
  • Created
  • Last Reply

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

До перехода на линукс все ещё не созрели? Если есть другой комплект железа - разверните все тоже под линуксами и потестируйте. Кто-то вон даже помощь предлагал.

Видите, на каждой странице звучат призывы переходить на linux. И это не холивар или попытки под№"%ть - такова суровая реальность. Допускаю что по всем параметрам системы примерно равны и непринципиа

Оффтоп. Собирался как-то было дело freebsd по изучать, для общего развития, всё руки не доходили. Вы меня убедили что оно того не стОит. Спасибо ребята за топик!

Posted Images

 

подскажите, плиз, правила, которые нафиг нужно снести ?

 

Все в которых встречается слово state и предпоследнее (глобальный deny). Добавить те, что я ранее писал. Они хорошо отфильтруют мусор и не нагрузят зря систему. Как то я пропустил мимо о, что это же НАТ для такой тучи клиентов и весь он через состояния к тому-же крутится.

 

Если, эти ?

то уже работают .

 

${fwcmd} add 50 allow ip from any to any via bge1 // sam k sebe

${fwcmd} add 50 allow tcp from 10.128.10.0/24 to me dst-port 80 in recv bge1 // localka k nashemu www

${fwcmd} add 50 allow udp from 10.128.10.0/24 to me dst-port 53 in recv bge1 // localka v nash DNS

${fwcmd} add 50 skipto 51 ip from 172.16.20.0/24 to any in recv bge1 // PPPoE idet dalshe

${fwcmd} add 50 deny ip from any to any in recv bge1 // ostalnoe rezhem

 

Подразумевается что где-то после шейпера и ната присутствует:

 

allow ip from me to any

 

правило 65534 - удалил

Link to post
Share on other sites

Не, я о правилах с антиспуфингом и реверспаз.

если не ...

продублируйте , плиз

 

я на сегодня спекся ...

Всем спокойно ночи .

Link to post
Share on other sites
${fwcmd} add 10 deny ip from any to any not verrevpath in

${fwcmd} add 11 deny ip from any to any not antispoof in

 

Первое можно с уточнением входящего инт-са, как я показывал несколькими страницами ранее, но можно и глобально. На первое время можно с логированием ограничив количество однотипных записей через logamount.

Link to post
Share on other sites

 

${fwcmd} add 10 deny ip from any to any not verrevpath in
${fwcmd} add 11 deny ip from any to any not antispoof in
 
Первое можно с уточнением входящего инт-са, как я показывал несколькими страницами ранее, но можно и глобально. На первое время можно с логированием ограничив количество однотипных записей через logamount.

 

спс, добавил

${fwcmd} add 20 deny log ip from any to any not verrevpath in
${fwcmd} add 21 deny log ip from any to any not antispoof in
 
а что делать с правилами check-state ?
Edited by kvirtu
Link to post
Share on other sites

 

а что делать с правилами check-state ?

 

Забыть их на транзитных роутерах да еще и с натом.

 

удалить ?

Link to post
Share on other sites

${fwcmd} add 10 deny ip from any to any not verrevpath in 

${fwcmd} add 11 deny ip from any to any not antispoof in

Зачем?

antispoof работает только для обслуживаемых сеток - аплинк и абоненты. И что там по udp подменять - днс?

verrevpath - тоже крайне сомнительно.

в итоге - +2 правила.

Edited by ZуXEL
Link to post
Share on other sites

Из-за 2(и даже 200) правил машина на таком смешном PPS тупить не может.

Тут вероятно где-то биллинг создает корявые линейные правила для фаервола и/или шейпера.

С вероятностью в 99% замена железа на что-то уровня i5-2500 под s1155(ну или сервер на 1366) проблему решит тупо за счет огромного запаса мощности.

Link to post
Share on other sites

 

 

antispoof работает только для обслуживаемых сеток - аплинк и абоненты. И что там по udp подменять - днс? verrevpath - тоже крайне сомнительно.

 

У него с PPPoE приходят пакеты с src_ip локалки и наоборот (пару страниц назад в логах было видно). И всякий левонет типа 192.168.x.x с клиентских ng уберет. Надо. Я бы сказал - обязательно у всех на клиентских подключениях. Спуфинг тоже неплохо закрыть. Любой олень из инета может послать пакет с подделаным src_ip - типа с его же сервера. Лучше закрыться и не думать в каком сервисе это может боком выползти.

Link to post
Share on other sites

 

${fwcmd} add 10 deny ip from any to any not verrevpath in 

${fwcmd} add 11 deny ip from any to any not antispoof in

Зачем?

antispoof работает только для обслуживаемых сеток - аплинк и абоненты. И что там по udp подменять - днс?

verrevpath - тоже крайне сомнительно.

в итоге - +2 правила.

 

вух,

 

Из-за 2(и даже 200) правил машина на таком смешном PPS тупить не может.

Тут вероятно где-то биллинг создает корявые линейные правила для фаервола и/или шейпера.

С вероятностью в 99% замена железа на что-то уровня i5-2500 под s1155(ну или сервер на 1366) проблему решит тупо за счет огромного запаса мощности.

Таки ДА, отключай шейпера от абилса - все стабилизируется

Link to post
Share on other sites
Из-за 2(и даже 200) правил машина на таком смешном PPS тупить не может.

 

200? У него весь нат через стейты динамически в мир лезет. Пара сотен клиентов по паре сотен запросов. Достаточно, что-бы файрвол раком машину ставил? 

 

На этом фоне +- 10 правил вообще ничто.

Edited by kha0s
Link to post
Share on other sites

Все правила в которых есть слово state. И завершающий deny (предпоследнее) тоже удалить. У тебя в файрволе образно говоря десятки тысяч правил. Это каждый входящий пакет эти десятки тысяч должен пройти. Урежь до пары десятков правил и думаю проблему забудешь. В правилах со state при прохождении через него пакета создается динамическое правило, которым надо обработать ответный пакет. У тебя НАТ. Представь что 10 клиентов запустило торрент скажем по 300-500 потоков. Каждый поток - отдельное правило в файрволе. Представь что клиентов таких больше сотни.

Link to post
Share on other sites

в фаере сейчас оставил только NAT&шейпер

 

 

darnet# ipfw list

00010 allow ip from any to any via lo0

00015 deny ip from any to 127.0.0.0/8

01020 nat tablearg ip from any to table(33) via igb0 in

09970 skipto 10130 ip from table(14) to table(3) in recv ng*

09975 skipto 10135 ip from table(3) to table(15) out xmit ng*

09980 skipto 10120 ip from table(12) to table(2) in recv ng*

09985 skipto 10125 ip from table(2) to table(13) out xmit ng*

10000 netgraph tablearg ip from table(10) to any in recv ng*

10010 netgraph tablearg ip from any to table(11) out xmit ng*

10020 allow ip from table(9) to any in recv ng*

10025 allow ip from any to table(9) out xmit ng*

10120 netgraph tablearg ip from table(12) to any in recv ng*

10125 netgraph tablearg ip from any to table(13) out xmit ng*

10130 netgraph tablearg ip from table(14) to any in recv ng*

10135 netgraph tablearg ip from any to table(15) out xmit ng*

10220 allow ip from table(9) to table(2) in recv ng*

10225 allow ip from table(2) to table(9) out xmit ng*

10230 allow ip from table(9) to table(3) in recv ng*

10235 allow ip from table(3) to table(9) out xmit ng*

60010 nat tablearg ip from table(34) to any via igb0

65060 nat 1 ip from any to any via igb0

65061 allow ip from 172.16.20.0/23 to any

65062 allow ip from any to 172.16.20.0/23

65535 allow ip from any to any

 

 

Link to post
Share on other sites

65061 b 65062 в этом случае лишние. Последнее правило и так всё пропустит. Вот на этом примере загрузка ipfw сужается до ната и шейпера. правила с табличками пока игнорирую - не зная что в них трудно предугадать логику поведения файрвола.

Edited by kha0s
Link to post
Share on other sites

Кому-то не хватило. То-ли нату то-ли шейперу поди. Надо читать рекомендации по обеих.

Хочу так сделать:

ngctl: recv msg: No buffer space available

Есть некоторые моменты, которые следует учесть, если ваш сервер имеет большое количество соединений. Например, можно столкнуться с ситуацией, когда при выводе комманды ngctl list будет выдававаться No buffer space available. Чтобы этого избежать следует добавить в /boot/loader.conf:

kern.ipc.nmbclusters=16384

kern.ipc.maxsockets=16384

net.graph.maxalloc=2048

kern.maxusers=512

kern.ipc.maxpipekva=32000000

в /etc/sysctl.conf:

net.graph.maxdgram=128000

net.graph.recvspace=128000

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.


×
×
  • Create New...