Перейти до

FreeBSD 7.2 - Высокий load averages


Рекомендованные сообщения

  • Відповіді 321
  • Створено
  • Остання відповідь

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

До перехода на линукс все ещё не созрели? Если есть другой комплект железа - разверните все тоже под линуксами и потестируйте. Кто-то вон даже помощь предлагал.

Видите, на каждой странице звучат призывы переходить на linux. И это не холивар или попытки под№"%ть - такова суровая реальность. Допускаю что по всем параметрам системы примерно равны и непринципиа

Оффтоп. Собирался как-то было дело freebsd по изучать, для общего развития, всё руки не доходили. Вы меня убедили что оно того не стОит. Спасибо ребята за топик!

Posted Images

А нафиг оно вам? Человек 2 страницы пытается объяснить, что любое логгирование в фаерволе - зло, именно оно может ложить машину в самой безобидной ситуации.

Сравните затраты на тупую маршрутизацию пакета, и затраты на разборку пакета в текст и запись строки в файл для каждого пакета.

Ссылка на сообщение
Поделиться на других сайтах

Да не зло там log и вообще ничего не стоит если просто указано в правиле, зато удобно, когда нужно. Это все в мане написано, если что. А кому сильно интересно, можно исходник глянуть и убедиться.

 

Как по мне, то в проблеме автора нет смысла рыться без профайлинга. И вообще дешевле заменить старое железо на современное, которое на порядок мощнее.

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

Да не зло там log и вообще ничего не стоит если просто указано в правиле, зато удобно, когда нужно. Это все в мане написано, если что. А кому сильно интересно, можно исходник глянуть и убедиться.

 

Как по мне, то в проблеме автора нет смысла рыться без профайлинга. И вообще дешевле заменить старое железо на современное, которое на порядок мощнее.

Сетевые igb на подходе + не новый, но сервачек HP G5, CPU X3050

Відредаговано kvirtu
Ссылка на сообщение
Поделиться на других сайтах

А нафиг оно вам? Человек 2 страницы пытается объяснить, что любое логгирование в фаерволе - зло, именно оно может ложить машину в самой безобидной ситуации.

Сравните затраты на тупую маршрутизацию пакета, и затраты на разборку пакета в текст и запись строки в файл для каждого пакета.

так уже писал же, в фаере в моменты скачков нагрузки оставлял только НАТ - не помогало.

Вчера вечером , около 18 - был затык, и в логи сыпалось !!!  отключил шейпер - инет кое-какой был у клиентов. Потом около 19 само собой стабилизировалось, в логи прекратило сыпать ,  при том что это как раз время ЧНН ?

Ссылка на сообщение
Поделиться на других сайтах

Сетевые igb на подходе + не новый, но сервачек HP G5, CPU X3050

Ну это реально какой-то мазохизм :)

Поменяли e5400(2c/2.7Ghz, s775) на xeon 3075(2c/2.66Ghz, s775) и сейчас хотите поменять еще раз на xeon 3050(2c/2.1Ghz,s775)? Зачем?

Возьмите сразу HP G6 на s1366, младшие модели на форуме у valrevan'a можно баксов за 300 взять, а разница в скорости между поколениями многократная.

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

 

Сетевые igb на подходе + не новый, но сервачек HP G5, CPU X3050

Ну это реально какой-то мазохизм :)

Поменяли e5400(2c/2.7Ghz, s775) на xeon 3075(2c/2.66Ghz, s775) и сейчас хотите поменять еще раз на xeon 3050(2c/2.1Ghz,s775)? Зачем?

Возьмите сразу HP G6 на s1366, младшие модели на форуме у valrevan'a можно баксов за 300 взять, а разница в скорости между поколениями многократная.

 

на xeon 3075(2c/2.66Ghz, s775) еще не менял, сейчас стоит декстопная мать асус. Буду менять на G5+ Х3050, 2,6, 1333, 4 М

Відредаговано kvirtu
Ссылка на сообщение
Поделиться на других сайтах

Может я и ошибась, но меня вроде досят из сетки.

Вот сейчас все нормально: сессой онлайн более 100 , траффик примерно 60 Мбит, в /var/log/security - ничего не сыпется.

Как только в логи сыпется из локалки :

Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.86:1339 91.196.7.46:61818 in via bge1

Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.86:1300 46.254.16.107:80 in via bge1

Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.127:51326 87.240.131.120:443 in via bge1

Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.86:1340 92.52.187.70:11577 in via bge1

Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny UDP 10.128.10.154:62985 50.157.178.60:51622 in via bge1

Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny UDP 10.128.10.154:62985 178.93.145.0:37648 in via bge1

Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny UDP 10.128.10.154:62985 36.63.30.85:11264 in via bge1

Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny UDP 10.128.10.154:62985 118.176.107.134:61455 in via bge1

Сразу капец : swi1: net - 100 %

Подскажите, что может генерить подобную срань ?

Ссылка на сообщение
Поделиться на других сайтах

 

 

Подскажите, что может генерить подобную срань ?

 

Я уже писал кто - ищи выше. повторю в 3-й раз вопрос - почему этот траффик вообще покидает bge1? Ведь в нат ему я так понимаю низзя. 

Ссылка на сообщение
Поделиться на других сайтах

 

Подскажите, что может генерить подобную срань ?

 

Я уже писал кто - ищи выше. повторю в 3-й раз вопрос - почему этот траффик вообще покидает bge1? Ведь в нат ему я так понимаю низзя. 

 

10.128.10.х - локалка , 172.16.20.х - НАТ

Выходит мне надо запретить до НАТа эту срань на bge1 ?

Ссылка на сообщение
Поделиться на других сайтах

С bge1 надо пропускать только то, что можно. Можно только 172.16.20.х ? Его в pass (пусть гуляет по правилам). Остальное - deny (и никаких логов).

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

С bge1 надо пропускать только то, что можно. Можно только 172.16.20.х ? Его в pass (пусть гуляет по правилам). Остальное - deny (и никаких логов).

эти правила:#Internal interface Netbios BLOCK${fwcmd} add 54 deny udp from any 135-139 to any via fxp1 # netbios ${fwcmd} add 55 deny tcp from any 135-139,445 to any via  fxp1 # netbios ${fwcmd} add 56 deny udp from any to any 135-139 via fxp1 # netbios ${fwcmd} add 57 deny tcp from any to any 135-139,445 via fxp1 # netbios

Поменять на эти ?

${fwcmd} add 54 deny udp from any to any 1-52,54-79,81-65355 via bge1 # ${fwcmd} add 55 deny tcp from any to any 1-52,54-79,81-65355 via  bge1 # 

172.16.20.х - это PPPOE

Відредаговано kvirtu
Ссылка на сообщение
Поделиться на других сайтах

Ну зачем столько паранойи? Запрещай доступ к тем сервисам, которые у тебя реально подняты. Не придется искать черных кошек в темных комнатах.

Ссылка на сообщение
Поделиться на других сайтах

Ну зачем столько паранойи? Запрещай доступ к тем сервисам, которые у тебя реально подняты. Не придется искать черных кошек в темных комнатах.

блин, ну так я разрешил доступ из локалки на 53 (днс) и 80 порт (локальный сайт)  , остальное нафиг ?

Ссылка на сообщение
Поделиться на других сайтах

Как-то так всё что касается bge1 (одним номером все правила для удобства):

 

${fwcmd} add 50 allow ip from any to any via bge1 // sam k sebe

${fwcmd} add 50 allow tcp from 10.128.10.0/24 to me dst-port 80 in recv bge1 // localka k nashemu www

${fwcmd} add 50 allow udp from 10.128.10.0/24 to me dst-port 53 in recv bge1 // localka v nash DNS

${fwcmd} add 50 skipto 51 ip from 172.16.20.0/24 to any in recv bge1 // PPPoE idet dalshe

${fwcmd} add 50 deny ip from any to any in recv bge1 // ostalnoe rezhem

 

Подразумевается что где-то после шейпера и ната присутствует:

 

allow ip from me to any

 

Ну и лучше не привязываться к имени физического инт-са, в случае замены драйвера долго лазить везьде и искать чего менять. Назвать как-то для себя.

Відредаговано kha0s
Ссылка на сообщение
Поделиться на других сайтах

Как-то так всё что касается bge1 (одним номером все правила для удобства):

 

${fwcmd} add 50 allow ip from any to any via bge1 // sam k sebe

${fwcmd} add 50 allow tcp from 10.128.10.0/24 to me dst-port 80 in recv bge1 // localka k nashemu www

${fwcmd} add 50 allow udp from 10.128.10.0/24 to me dst-port 53 in recv bge1 // localka v nash DNS

${fwcmd} add 50 skipto 51 ip from 172.16.20.0/24 to any in recv bge1 // PPPoE idet dalshe

${fwcmd} add 50 deny ip from any to any in recv bge1 // ostalnoe rezhem

 

Подразумевается что где-то после шейпера и ната присутствует:

 

allow ip from me to any

 

Ну и лучше не привязываться к имени физического инт-са, в случае замены драйвера долго лазить везьде и искать чего менять. Назвать как-то для себя.

спс,

${fwcmd} add 50 skipto 51 ip from 172.16.20.0/24 to any in recv bge1 // PPPoE idet dalshe - 51 это след. правило ?

Ссылка на сообщение
Поделиться на других сайтах

 

 

спс, ${fwcmd} add 50 skipto 51 ip from 172.16.20.0/24 to any in recv bge1 // PPPoE idet dalshe - 51 это след. правило ?

Да, суть - перепрыгнуть завершающий deny и пойти дальше проверяться по правилам. 

Ссылка на сообщение
Поделиться на других сайтах

 

спс, ${fwcmd} add 50 skipto 51 ip from 172.16.20.0/24 to any in recv bge1 // PPPoE idet dalshe - 51 это след. правило ?

Да, суть - перепрыгнуть завершающий deny и пойти дальше проверяться по правилам. 

 

понял, спс.

У меня по правилам получаеться, что сначала идет шейпер, а потом НАТ - это правильно ?

И получилось что после щейпера и НАТа

65530 allow ip from me to any

Ссылка на сообщение
Поделиться на других сайтах

Впринципе без разницы - что мучать нат, потом жать, что наоборот. Хотя по логике, если пакет наш - зачем его в нат пихать? Пусть сразу улетает на выходе из шейпера к клиенту. Т.е.  allow ip from me to any поставить после шейпера но до ната. Лишняя нагрузка на нат ни к чему. Но при этом входящие пакеты соотв. тоже незачем заворачивать в нат, если они предназначены локальным IP (to me).

Відредаговано kha0s
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.


×
×
  • Створити нове...