BARVIT 113 Опубліковано: 2015-02-19 19:10:52 Share Опубліковано: 2015-02-19 19:10:52 Ну да Даже тема почти одинаково называется. Тыц Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-22 19:37:17 Автор Share Опубліковано: 2015-02-22 19:37:17 сегодня глянул: vmstat -z | grep GraphNetGraph items: 36, 4134, 0, 468, 1418402, 0NetGraph data items: 36, 546, 0, 546, 1180001794, 55827 это мне надо увеличивать ? darnet# sysctl net.graph.maxdatanet.graph.maxdata: 512 1024 хват или больше ? Ссылка на сообщение Поделиться на других сайтах
l1ght 377 Опубліковано: 2015-02-22 23:20:07 Share Опубліковано: 2015-02-22 23:20:07 в мене отак net.graph.maxdata: 65535 Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-23 07:14:59 Автор Share Опубліковано: 2015-02-23 07:14:59 Рано я радовался , опять скачки продолжаются, при значении: sysctl net.isr.direct=1 растет загрузка irq257: igb0 sysctl net.isr.direct=0 растет swi1: net Ссылка на сообщение Поделиться на других сайтах
BARVIT 113 Опубліковано: 2015-02-23 07:16:53 Share Опубліковано: 2015-02-23 07:16:53 И так же падает? Или просто скачки? Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-23 07:22:22 Автор Share Опубліковано: 2015-02-23 07:22:22 И так же падает? Или просто скачки? если скачки сильные, и меня нет рядом, что бы шейпера убрать - уходит в ребут . Сегодня ночью было avg - до 2, не ребутился. После переинициализации шейперов по крону - упала Ссылка на сообщение Поделиться на других сайтах
DemonidZe 15 Опубліковано: 2015-02-23 07:28:17 Share Опубліковано: 2015-02-23 07:28:17 Рано я радовался , опять скачки продолжаются, при значении: sysctl net.isr.direct=1 растет загрузка irq257: igb0 sysctl net.isr.direct=0 растет swi1: net я тоже из той темы ) закрытие портов помогало но до определенного кол-во трафика а дальше только deny-in , и все проблем ни каких забываешь что у тебя вообще стоят насы. но все равно интересно почему это не у всех поголовно происходит Ссылка на сообщение Поделиться на других сайтах
kha0s 112 Опубліковано: 2015-02-23 07:28:58 Share Опубліковано: 2015-02-23 07:28:58 если скачки сильные, и меня нет рядом, что бы шейпера убрать - уходит в ребут Если там реально шейпер и скорости выше 2Мбит - зло. Делайте лимитер - жрать ничего не будет практически. Документацию на ng_car надеюсь наизусть уже изучили? Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-23 07:44:08 Автор Share Опубліковано: 2015-02-23 07:44:08 если скачки сильные, и меня нет рядом, что бы шейпера убрать - уходит в ребут Если там реально шейпер и скорости выше 2Мбит - зло. Делайте лимитер - жрать ничего не будет практически. Документацию на ng_car надеюсь наизусть уже изучили? Скорости выше 2-х, Что такое лимитер ? Сессии резать ? Доки - изучаю. ПЫ.СЫ. В субботу - обнаружили, что какая-то сука периодически отключала-включала питание в щитке. Закрыли щиток. Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-23 07:45:49 Автор Share Опубліковано: 2015-02-23 07:45:49 (відредаговано) Рано я радовался , опять скачки продолжаются, при значении: sysctl net.isr.direct=1 растет загрузка irq257: igb0 sysctl net.isr.direct=0 растет swi1: net я тоже из той темы ) закрытие портов помогало но до определенного кол-во трафика а дальше только deny-in , и все проблем ни каких забываешь что у тебя вообще стоят насы. но все равно интересно почему это не у всех поголовно происходит а как лучше:net.isr.direct ? пакеты, приходящие через драйвер сетевой карты, могут обрабатываться сразу при sysctl net.isr.direct=1, либо сначала укладываться в очередь при нулевом значении этого параметра; А можно правило с deny-in ? спасибо Відредаговано 2015-02-23 07:47:22 kvirtu Ссылка на сообщение Поделиться на других сайтах
kha0s 112 Опубліковано: 2015-02-23 07:54:00 Share Опубліковано: 2015-02-23 07:54:00 Что такое лимитер ? Полисер. Ссылка на сообщение Поделиться на других сайтах
BARVIT 113 Опубліковано: 2015-02-23 07:54:29 Share Опубліковано: 2015-02-23 07:54:29 http://local.com.ua/forum/topic/60509-freebsd-hi-loading-cpu/page-13 Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-23 08:05:01 Автор Share Опубліковано: 2015-02-23 08:05:01 http://local.com.ua/forum/topic/60509-freebsd-hi-loading-cpu/page-13 а, спасибо, у меня такой НАТ # NAT ${fwcmd} nat 1 config if igb0 log same_ports deny_in unreg_only ${fwcmd} add 65060 nat 1 ip from any to any via igb0 ${fwcmd} add 65061 allow ip from 172.16.20.0/23 to any ${fwcmd} add 65062 allow ip from any to 172.16.20.0/23 Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-23 08:20:02 Автор Share Опубліковано: 2015-02-23 08:20:02 Что такое лимитер ? Полисер. шейпер ? так юзаю абилс, а там шейпер shaper_start.sh ? Ссылка на сообщение Поделиться на других сайтах
DemonidZe 15 Опубліковано: 2015-02-23 08:25:40 Share Опубліковано: 2015-02-23 08:25:40 (відредаговано) Рано я радовался , опять скачки продолжаются, при значении: sysctl net.isr.direct=1 растет загрузка irq257: igb0 sysctl net.isr.direct=0 растет swi1: net я тоже из той темы ) закрытие портов помогало но до определенного кол-во трафика а дальше только deny-in , и все проблем ни каких забываешь что у тебя вообще стоят насы. но все равно интересно почему это не у всех поголовно происходит а как лучше:net.isr.direct ? пакеты, приходящие через драйвер сетевой карты, могут обрабатываться сразу при sysctl net.isr.direct=1, либо сначала укладываться в очередь при нулевом значении этого параметра; А можно правило с deny-in ? спасибо ну из защитных правил у меня вот ipfw add 2 deny ip from any to any dst-port 6881-6889,49001 via igb1 in ну и сам нат ipfw nat 1 config log if igb1 reset same_ports deny_in у меня стоит net.isr.direct=0 на щет как лутше не скажу только учтите при deny_in вы не сможете зайти на ипишник на который натите! Відредаговано 2015-02-23 08:30:40 DemonidZe Ссылка на сообщение Поделиться на других сайтах
kha0s 112 Опубліковано: 2015-02-23 09:06:25 Share Опубліковано: 2015-02-23 09:06:25 (відредаговано) только учтите при deny_in вы не сможете зайти на ипишник на который натите! Ну почему-же - можно об этом позаботиться соотв. правилами _до_ попадания в нат. Кстати, топикстартер давеча жаловался что клиенты перестали в ДНС попадать. Возможно именно в этом причина. Відредаговано 2015-02-23 09:08:06 kha0s Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-23 09:08:50 Автор Share Опубліковано: 2015-02-23 09:08:50 Рано я радовался , опять скачки продолжаются, при значении: sysctl net.isr.direct=1 растет загрузка irq257: igb0 sysctl net.isr.direct=0 растет swi1: net я тоже из той темы ) закрытие портов помогало но до определенного кол-во трафика а дальше только deny-in , и все проблем ни каких забываешь что у тебя вообще стоят насы. но все равно интересно почему это не у всех поголовно происходит а как лучше:net.isr.direct ? пакеты, приходящие через драйвер сетевой карты, могут обрабатываться сразу при sysctl net.isr.direct=1, либо сначала укладываться в очередь при нулевом значении этого параметра; А можно правило с deny-in ? спасибо ну из защитных правил у меня вот ipfw add 2 deny ip from any to any dst-port 6881-6889,49001 via igb1 in ну и сам нат ipfw nat 1 config log if igb1 reset same_ports deny_in у меня стоит net.isr.direct=0 на щет как лутше не скажу только учтите при deny_in вы не сможете зайти на ипишник на который натите! правило 2 уже есть , спасибо ZyXel Это у Вас все правила НАТа ? net.isr.direct=0 - тоже так сделал Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-23 09:11:01 Автор Share Опубліковано: 2015-02-23 09:11:01 (відредаговано) Мой НАТ , может чтов нем ? # NAT${fwcmd} nat 1 config if igb0 log same_ports deny_in unreg_only${fwcmd} add 65060 nat 1 ip from any to any via igb0${fwcmd} add 65061 allow ip from 172.16.20.0/23 to any${fwcmd} add 65062 allow ip from any to 172.16.20.0/23 ipfw nat shownat 21: icmp=5, udp=13225, tcp=13871, pptp=0, proto=0, frag_id=4 frag_ptr=0 / tot=27105nat 1: icmp=0, udp=0, tcp=449, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=449 Что за НАТ 21 ??? Відредаговано 2015-02-23 09:30:40 kvirtu Ссылка на сообщение Поделиться на других сайтах
RockManX 9 Опубліковано: 2015-02-23 09:11:21 Share Опубліковано: 2015-02-23 09:11:21 только учтите при deny_in вы не сможете зайти на ипишник на который натите! а если перед правилом ната поставить разрешающее? и вообще открытых портов на внешнем интерфейсе быть не должно, а если должны (ssh), то только их фильтровать интерфейсом толку фаерволом/натом блокировать весь входящий траффик, если пакет уже пришел на сетевуху и она его обработала, потратила процессорное время а потом мы ещё раз тратим процессорное время, чтобы этот пакет заблокировать, хотя он итак будет откинуть (если black hole стоит, иначе будет обрабатываться отрицательный ответ приславшей машине) Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-23 09:21:51 Автор Share Опубліковано: 2015-02-23 09:21:51 (відредаговано) Мой НАТ , может чтов нем ? # NAT ${fwcmd} nat 1 config if igb0 log same_ports deny_in unreg_only ${fwcmd} add 65060 nat 1 ip from any to any via igb0 ${fwcmd} add 65061 allow ip from 172.16.20.0/23 to any ${fwcmd} add 65062 allow ip from any to 172.16.20.0/23 ipfw nat show nat 21: icmp=5, udp=13225, tcp=13871, pptp=0, proto=0, frag_id=4 frag_ptr=0 / tot=27105 nat 1: icmp=0, udp=0, tcp=449, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=449 Что за НАТ 21 ??? нашел: ABillS NAT start NAT start ipfw nat 21 config ip х.х.х.х log 60010 nat tablearg ip from table(34) to any via igb0 01020 nat tablearg ip from any to table(33) via igb0 in Відредаговано 2015-02-23 09:31:00 kvirtu Ссылка на сообщение Поделиться на других сайтах
RockManX 9 Опубліковано: 2015-02-23 09:25:22 Share Опубліковано: 2015-02-23 09:25:22 nat 21: icmp=5, udp=13225, tcp=13871, pptp=0, proto=0, frag_id=4 frag_ptr=0 / tot=27105 ipfw nat 21 config ip х.х.х.х log получается этот нат и работает вместо фаервольного ) Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-23 11:56:44 Автор Share Опубліковано: 2015-02-23 11:56:44 Рано я радовался , опять скачки продолжаются, при значении: sysctl net.isr.direct=1 растет загрузка irq257: igb0 sysctl net.isr.direct=0 растет swi1: net я тоже из той темы ) закрытие портов помогало но до определенного кол-во трафика а дальше только deny-in , и все проблем ни каких забываешь что у тебя вообще стоят насы. но все равно интересно почему это не у всех поголовно происходит а как лучше:net.isr.direct ? А можно правило с deny-in ?пакеты, приходящие через драйвер сетевой карты, могут обрабатываться сразу при sysctl net.isr.direct=1, либо сначала укладываться в очередь при нулевом значении этого параметра; спасибо у меня стоит net.isr.direct=0 на щет как лутше не скажу итог, у меня: no space bufer Ссылка на сообщение Поделиться на других сайтах
l1ght 377 Опубліковано: 2015-02-23 11:57:05 Share Опубліковано: 2015-02-23 11:57:05 nestat -m Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-23 12:32:31 Автор Share Опубліковано: 2015-02-23 12:32:31 (відредаговано) nestat -m netstat -m 1657/1553/3210 mbufs in use (current/cache/total) 1444/784/2228/131072 mbuf clusters in use (current/cache/total/max) 1444/732 mbuf+clusters out of packet secondary zone in use (current/cache) 1/44/45/66048 4k (page size) jumbo clusters in use (current/cache/total/max) 2/42/44/33024 9k jumbo clusters in use (current/cache/total/max) 1/34/35/16512 16k jumbo clusters in use (current/cache/total/max) 3357K/3054K/6411K bytes allocated to network (current/cache/total) 0/0/0 requests for mbufs denied (mbufs/clusters/mbuf+clusters) 0/0/0 requests for jumbo clusters denied (4k/9k/16k) 2/21/33280 sfbufs in use (current/peak/max) 0 requests for sfbufs denied 0 requests for sfbufs delayed 25 requests for I/O initiated by sendfile 0 calls to protocol drain routines Відредаговано 2015-02-23 12:34:01 kvirtu Ссылка на сообщение Поделиться на других сайтах
kha0s 112 Опубліковано: 2015-02-23 12:41:35 Share Опубліковано: 2015-02-23 12:41:35 Комманду повторить когда появится сообщение о нехватке. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас