Перейти к содержимому
Local

Рекомендованные сообщения

 

 

роде как deny_in (ее отсутвие)

не из-за того что машине приходится отвечать на каждый откинутый пакет?

sysctl -a | grep blackhole 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

@kvirtu, как успехи? Что нового?

Пока все хорошо, вроде бы нашел причину, вроде как deny_in (ее отсутвие). Распишу свои предположения чуть позже

Тестирую пока 9.3. - завтра хочу попробовать

 

Проблема не в отсутствии  deny_in, а в железе.

Потому как железо, доже при отсутствии  deny_in, должно переваривать поток и не ребутится,

аверейдж будет расти до 5-10-20..., пинги до несколько секунд, очередь дропацца, но тачка не должна ребутится.

А если тачка ребутится, то это означает что  грабли в железе, проявляются на определенной, высокой нагрузке, вот и фсе.

 

То что ты тюнингуеш, прикрутил  deny_in и понизил нагрузку...,

конечно круто, но это железо не реанимирует и наступит определенный уровень нагрузки даже при наличии deny_in, и тачка твоя свалится,

бизнес на таком железе делать не рекомендуется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@pavlabor, когда у меня такая вещь была (правда в ребут ничего не уходило, но проц валило в 100%) машина становилась недоступна... смена железа ровным счетом ничего не меняло. i7 ложился в 2 минуты. с deny_in работает и старичок, убрал i7 и забыл про проблему. Хз в чем тут причина.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@pavlabor, когда у меня такая вещь была (правда в ребут ничего не уходило, но проц валило в 100%) машина становилась недоступна... смена железа ровным счетом ничего не меняло. i7 ложился в 2 минуты. с deny_in работает и старичок, убрал i7 и забыл про проблему. Хз в чем тут причина.

Сетевой кабель отключаешь и все задышало..., отличное железо!

А в данном случае, не факт что копаешься с проблемой.

Ребут, это в большинстве случаем накопление ошибки при не соответствии частот, битая ячейка памяти, перегоревший один из миллионов транзистор в проце...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ребут, это в большинстве случаем накопление ошибки при не соответствии частот, битая ячейка памяти, перегоревший один из миллионов транзистор в проце...

Человек менял все железо, включая сетевки. Тут скорее какие-то вылезающие только у него баги БСД.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

роде как deny_in (ее отсутвие)

не из-за того что машине приходится отвечать на каждый откинутый пакет?

sysctl -a | grep blackhole 

 

sysctl -a | grep blackhole

net.inet.tcp.blackhole: 2

net.inet.udp.blackhole: 1

 

Эти переменные уже как 2 года прописаны

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

 

@kvirtu, как успехи? Что нового?

Пока все хорошо, вроде бы нашел причину, вроде как deny_in (ее отсутвие). Распишу свои предположения чуть позже

Тестирую пока 9.3. - завтра хочу попробовать

 

Проблема не в отсутствии  deny_in, а в железе.

Потому как железо, доже при отсутствии  deny_in, должно переваривать поток и не ребутится,

аверейдж будет расти до 5-10-20..., пинги до несколько секунд, очередь дропацца, но тачка не должна ребутится.

А если тачка ребутится, то это означает что  грабли в железе, проявляются на определенной, высокой нагрузке, вот и фсе.

 

То что ты тюнингуеш, прикрутил  deny_in и понизил нагрузку...,

конечно круто, но это железо не реанимирует и наступит определенный уровень нагрузки даже при наличии deny_in, и тачка твоя свалится,

бизнес на таком железе делать не рекомендуется.

 

хорошо,а чем Вы объясните именно  лавинообразный, быстрый  рост нагрузки, и также резкий его спад ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

 

хорошо,а чем Вы объясните именно  лавинообразный, быстрый  рост нагрузки, и также резкий его спад ?

 

А не пробовали вести аккаунтинг. Тот-же netflow генерировать и принимать коллектором?  Думаю в моменты пиковых тормозов там найдется ответ. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

хорошо,а чем Вы объясните именно  лавинообразный, быстрый  рост нагрузки, и также резкий его спад ?

 

А не пробовали вести аккаунтинг. Тот-же netflow генерировать и принимать коллектором?  Думаю в моменты пиковых тормозов там найдется ответ. 

 

думал, но пока все хорошо, хотя попытки скачков были, в практически в ТОЖЕ  самое время, как и раньше. Около 12:30 ,  15 часов , 17 часов. Скрин выложу

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Есть проблемный трафик. Чем быстее от идентифицируется, тем быстрее можно решить как с ним поступать или почему он приводит к таким последствиям (кривой нат, шейпер, файрвол, еще чего...)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В общем похоже на атаку, могу ошибаться, НО все происходит в одно и тоже время.

Помогает добавление deny_in в правило НАТа . Росла нагрузка на внешнем igb0.

Почему так долго было, МОЯ НЕвнимательность :facepalm:.

Значит,  в моем фаерволе в НАТе прописано log same_ports deny_in unreg_only . Я использую Абилс, там скрипт, который создает НАТ и шейпер, но без deny_in и перетирает мой НАТ. (читал доку по абилсу невнимательно, мой косяк).

В моменты пиковых нагрузок,  я отключал абиловский НАТ и шейпер и включал свой НАТ. После этого нагрузка падала.

вот график загрузки, черными кружечками обозначены пики за сегодня

la.jpg

Изменено пользователем kvirtu

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Судя по нагрузке, у тебя банально не хватает расчетной мощности.

Аверейдж при нормальной комплектации, должен держаться на уровне единицы,

пинги в пределах не более 0,500 миллисекунд.

 

Маштабируйся.

backup3# uptime
17:40  up 335 days,  8:12, 1 user, load averages: 0,04 0,08 0,08
180-26# uptime
17:43  up 165 days,  4:21, 2 users, load averages: 0,15 0,12 0,09

Ездят раз в два года, акумы менять.

Изменено пользователем pavlabor

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

 

я отключал абиловский НАТ и шейпер и включал свой НАТ

 

ключевое слово - "абилсовский нат".  А в этой теме всегда упоминалось - отключаю ШЕЙПЕР и все работает. Соотв. не там искали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Судя по нагрузке, у тебя банально не хватает расчетной мощности.

Аверейдж при нормальной комплектации, должен держаться на уровне единицы,

пинги в пределах не более 500 миллисекунд.

 

Маштабируйся.

backup3# uptime

17:40  up 335 days,  8:12, 1 user, load averages: 0,04 0,08 0,08

 

это в процентах

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

я отключал абиловский НАТ и шейпер и включал свой НАТ

 

ключевое слово - "абилсовский нат".  А в этой теме всегда упоминалось - отключаю ШЕЙПЕР и все работает. Соотв. не там искали.

 

та да :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Линукс бы не помог с невнимательностью, а линуксоидам так хотелось :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Линукс бы не помог с невнимательностью, а линуксоидам так хотелось :)

:) , наблюдаем

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

и как наблюдается?

отлично :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

×