FreeBSD 7.2 - Высокий load averages

[kvirtu 315]

у меня была похожая ситуация, когда рандомно грузился сервер как по систем, так и по прерываниям - не хватало входящего

канала точно хватает, загрузка может вырасти внезпно, даже при 40 Мбитах.

Відредаговано 2015-02-15 20:38:41 kvirtu

[l1ght 377]

 

 

swi1: net

це netisr, поставити нормальні мережеві і вирубити його нафіг, і дамп той що був - fault через netisr. 

[kvirtu 315]

 

swi1: net

це netisr, поставити нормальні мережеві і вирубити його нафіг, і дамп той що був - fault через netisr. 

 

netisr - щас буду гуглить как вырубить

[kvirtu 315]

пока переделал правила ipfw

ipfw.conf

 

 

#!/bin/sh

#

fwcmd='/sbin/ipfw -q'

#

${fwcmd} -f flush

${fwcmd} -f queue flush

${fwcmd} -f pipe flush

#

${fwcmd} add 005 fwd 10.128.10.1 tcp from 172.16.30.0/24 to any

# Loopback

${fwcmd} add 10 allow all from any to any via lo0

${fwcmd} add 15 deny all from any to 127.0.0.0/8

${fwcmd} add 20 deny ip from 127.0.0.0/8 to any

#

${fwcmd} add 30 check-state

# Запрет X-сканирования:

${fwcmd} add 40 reject log tcp from any to any tcpflags fin, syn, rst, psh, ack, urg

# Запрет N-сканирования:

${fwcmd} add 41 reject log tcp from any to any tcpflags !fin, !syn, !rst, !psh, !ack, !urg

# Запрет FIN-сканирования:

${fwcmd} add 42 reject log tcp from any to any not established tcpflags fin

# Защита от спуфинга (подмена адреса отправителя)

#${fwcmd} add 43 deny log ip from any to any not verrevpath in via bge0

# block some DOS attacks.

${fwcmd} add 44 deny tcp from any to any tcpoptions !mss tcpflags syn,!ack

# Drop icmp

###${fwcmd} add 45 deny icmp from any to any in icmptype 5,9,13,14,15,16,17

#External interface Netbios BLOCK

${fwcmd} add 50 deny udp from any 135-139 to any via bge0 # netbios низя

${fwcmd} add 51 deny tcp from any 135-139,445 to any via bge0 # netbios низя

${fwcmd} add 52 deny udp from any to any 135-139 via bge0 # netbios низя

${fwcmd} add 53 deny tcp from any to any 135-139,445 via bge0 # netbios

#Internal interface Netbios BLOCK

${fwcmd} add 54 deny udp from any 135-139 to any via bge1 # netbios низя

${fwcmd} add 55 deny tcp from any 135-139,445 to any via bge1 # netbios низя

${fwcmd} add 56 deny udp from any to any 135-139 via bge1 # netbios низя

${fwcmd} add 57 deny tcp from any to any 135-139,445 via bge1 # netbios

#Mail Deny

${fwcmd} add 65 deny tcp from 10.128.10.0/23 to any 25

${fwcmd} add 66 deny tcp from 172.16.20.0/23 to any 25

# рубим автоконфигуреную частную сеть

###${fwcmd} add 67 deny ip from 169.254.0.0/16 to any

# разрешить весь выходящий трафик

${fwcmd} add 70 allow tcp from me to any keep-state

${fwcmd} add 71 allow udp from me to any keep-state

###Traceroute fo system

#${fwcmd} add 72 allow icmp from me to any out via bge0 icmptype 0,3,8,11,12 keep-state

${fwcmd} add 72 allow icmp from me to any out icmptype 0,3,8 keep-state

# Allow in me from any

${fwcmd} add 80 allow tcp from any to me 80,xxx keep-state

${fwcmd} add 82 allow tcp from any to me xxxx keep-state

${fwcmd} add 95 allow udp from any to me 53 keep-state

${fwcmd} add 100 allow icmp from any to me in via bge0 icmptype 0,3,8 keep-state

${fwcmd} add 101 allow icmp from any to me in via re0 icmptype 0,3,8 keep-state

${fwcmd} add 102 allow icmp from any to me in via bge1 icmptype 0,3,8 keep-state

${fwcmd} add 103 deny log icmp from any to me in via bge0 icmptype 5,9,13,14,16,17

# NAT

${fwcmd} nat 1 config if bge0 log same_ports deny_in unreg_only

#${fwcmd} add 65055 nat 1 ip from 172.16.20.0/24 to any

${fwcmd} add 65060 nat 1 ip from any to any via bge0

#${fwcmd} add 65060 nat 1 ip from 172.16.20.0/24 to any

${fwcmd} add 65061 allow ip from 172.16.20.0/23 to any

${fwcmd} add 65062 allow ip from any to 172.16.20.0/23

# разрешаем tcp-пакеты по уже установленным соединениям

${fwcmd} add 65532 allow tcp from any to any established

# Broadcasts are denied and not logged.

${fwcmd} add 65533 deny all from any to 255.255.255.255

# Deny All

${fwcmd} add 65534 deny log all from any to any

 

 

Відредаговано 2015-02-16 09:23:14 kvirtu

[kha0s 112]

Очень лень в чужих правилах копаться, как я уже говорил - я бы половину этой паранойи выбросил. 

 

allow tcp from any to any established как можно выше - его суть не нагружать файрвол тем, что уже разрешено. Но у вас наты, шматы, шейперы, шмейперы - видимо в акурат за ними и ставить

 

 

 

${fwcmd} add 65534 deny log all from any to any

 

Вот тут интересно - глазками анализировали этот логгинг? Есть предположение что в это правило попадает слишком много траффика и логируя весь этот мусор мы дико тормозим вход, в результате чего система тупо виснет. Лог в глобальных местах нужен на момент внедрения - недельку понаблюдать и сделать уточнения в правилах.

[kvirtu 315]

Очень лень в чужих правилах копаться, как я уже говорил - я бы половину этой паранойи выбросил. 

 

allow tcp from any to any established как можно выше - его суть не нагружать файрвол тем, что уже разрешено. Но у вас наты, шматы, шейперы, шмейперы - видимо в акурат за ними и ставить

 

 

 

${fwcmd} add 65534 deny log all from any to any

 

Вот тут интересно - глазками анализировали этот логгинг? Есть предположение что в это правило попадает слишком много траффика и логируя весь этот мусор мы дико тормозим вход, в результате чего система тупо виснет. Лог в глобальных местах нужен на момент внедрения - недельку понаблюдать и сделать уточнения в правилах.

новые правила тока сегодня утром "внедрил"

ну пока в логи пишется ничтожно мало инфы,  последняя запись в 11:48 на 20 строчек и то по правилу 103: DENY ICMP:5.1

пока все в штатном режиме,  0.00% swi1: net , 34.89% irq19: bge0

[kvirtu 315]

заметил, что нагрузка растет когда в логи сыплет, к примеру такое

хотя этих юзверы, к инету не подключены ?

 

 

Feb 16 16:18:14 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.165:61794 194.44.4.217:80 in via bge1

Feb 16 16:18:15 darnet kernel: ipfw: 65534 Deny UDP 10.128.10.45:63081 192.168.2.150:44773 in via bge1

Feb 16 16:18:15 darnet kernel: ipfw: 65534 Deny UDP 10.128.10.173:39242 192.168.1.67:44046 in via bge1

Feb 16 16:18:19 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.154:49803 173.194.44.35:80 in via bge1

Feb 16 16:18:20 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.165:61794 194.44.4.217:80 in via bge1

Feb 16 16:18:22 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.154:49803 173.194.44.35:80 in via bge1

Feb 16 16:18:28 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.154:49803 173.194.44.35:80 in via bge1

Feb 16 16:18:34 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.154:49804 217.69.134.55:80 in via bge1

Feb 16 16:18:37 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.154:49804 217.69.134.55:80 in via bge1

Feb 16 16:18:37 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.165:61795 194.44.4.217:80 in via bge1

Feb 16 16:18:40 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.165:61795 194.44.4.217:80 in via bge1

Feb 16 16:18:40 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.154:49805 173.194.44.39:80 in via bge1

Feb 16 16:18:43 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.154:49804 217.69.134.55:80 in via bge1

Feb 16 16:18:43 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.154:49805 173.194.44.39:80 in via bge1

Feb 16 16:18:46 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.165:61795 194.44.4.217:80 in via bge1

Feb 16 16:18:49 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.154:49805 173.194.44.39:80 in via bge1

Feb 16 16:18:55 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.154:49806 217.69.134.56:80 in via bge1

Feb 16 16:18:58 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.154:49806 217.69.134.56:80 in via bge1

Feb 16 16:18:58 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.165:61796 194.44.4.202:80 in via bge1

Feb 16 16:19:01 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.165:61796 194.44.4.202:80 in via bge1

Feb 16 16:19:01 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.154:49807 173.194.44.37:80 in via bge1

Feb 16 16:19:04 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.154:49806 217.69.134.56:80 in via bge1

Feb 16 16:19:04 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.154:49807 173.194.44.37:80 in via bge1

Feb 16 16:19:06 darnet kernel: ipfw: 65534 Deny UDP 192.168.1.88:58937 192.168.1.255:6771 in via bge1

Feb 16 16:19:07 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.165:61796 194.44.4.202:80 in via bge1

Feb 16 16:19:09 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.165:61797 77.234.41.63:80 in via bge1

Feb 16 16:19:10 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.154:49807 173.194.44.37:80 in via bge1

Feb 16 16:19:12 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.165:61797 77.234.41.63:80 in via bge1

 

 

Відредаговано 2015-02-16 14:24:06 kvirtu

[kha0s 112]

Бинго. Как я и предполагал. Пакеты тормозятся, заполняя буфер - не успевают логироваться. Буфер заканчивается и биг бада бум. Урежь паранойю

[kvirtu 315]

Бинго. Как я и предполагал. Пакеты тормозятся, заполняя буфер - не успевают логироваться. Буфер заканчивается и биг бада бум. Урежь паранойю

ipfw: 65534 убрал, не помогло (

Відредаговано 2015-02-16 14:45:26 kvirtu

[kvirtu 315]

все удалил, отставил только НАТ:

darnet# ipfw list
00010 allow ip from any to any via lo0
00015 deny ip from any to 127.0.0.0/8
00020 deny ip from 127.0.0.0/8 to any
65060 nat 1 ip from any to any via bge0
65061 allow ip from 172.16.20.0/23 to any
65062 allow ip from any to 172.16.20.0/23
65535 allow ip from any to any
 

не помогает

Відредаговано 2015-02-16 14:56:06 kvirtu

[kha0s 112]

Теперь смотреть в час пик кто именно шалит. Прерывания? Дамминет? Нат? Файрвол?

[kvirtu 315]

В общем: загибается под

 

Теперь смотреть в час пик кто именно шалит. Прерывания? Дамминет? Нат? Файрвол?

шейпер , как только включаю его, swi1 - сразу по 100.

И это при включенном поллинге на сетевых

Відредаговано 2015-02-16 15:06:14 kvirtu

[Ромка 565]

Оффтоп. Сильно ногами не пинайте, но может попробуете Abills + Accel-ppp на Debian. Работает, есть не просит, нагрузки на порядок выше чем у ТС.

[kha0s 112]

В общем: загибается под

 

Теперь смотреть в час пик кто именно шалит. Прерывания? Дамминет? Нат? Файрвол?

шейпер , как только включаю его, swi1 - сразу по 100.

И это при включенном поллинге на сетевых

Ну, покажите еще ipfw show и ipfw pipe show в пиках. Может еще на какие мысли натолкнет.

[kvirtu 315]

Оффтоп. Сильно ногами не пинайте, но может попробуете Abills + Accel-ppp на Debian. Работает, есть не просит, нагрузки на порядок выше чем у ТС.

спс,

заказал сетевые igb - будут затвра+поменяю сам сервак.

[kvirtu 315]

 

В общем: загибается под

 

Теперь смотреть в час пик кто именно шалит. Прерывания? Дамминет? Нат? Файрвол?

шейпер , как только включаю его, swi1 - сразу по 100.

И это при включенном поллинге на сетевых

 

Ну, покажите еще ipfw show и ipfw pipe show в пиках. Может еще на какие мысли натолкнет.

 

шейпер сейчас выключен.

ipfw show

 

 

00005 0 0 fwd 10.128.10.1 tcp from 172.16.30.0/24 to any

00010 1273 219939 allow ip from any to any via lo0

00015 0 0 deny ip from any to 127.0.0.0/8

00020 0 0 deny ip from 127.0.0.0/8 to any

00030 0 0 check-state

00040 0 0 reject log logamount 100 tcp from any to any tcpflags syn,fin,ack,psh,rst,urg

00041 1 52 reject log logamount 100 tcp from any to any tcpflags !syn,!fin,!ack,!psh,!rst,!urg

00042 0 0 reject log logamount 100 tcp from any to any not established tcpflags fin

00043 266 20186 deny log logamount 100 ip from any to any not verrevpath in via bge0

00044 45 2536 deny tcp from any to any tcpoptions !mss setup

00045 1 56 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17

00050 0 0 deny udp from any 135-139 to any via bge0

00051 0 0 deny tcp from any 135-139,445 to any via bge0

00052 0 0 deny udp from any to any dst-port 135-139 via bge0

00053 0 0 deny tcp from any to any dst-port 135-139,445 via bge0

00054 877 77941 deny udp from any 135-139 to any via bge1

00055 0 0 deny tcp from any 135-139,445 to any via bge1

00056 0 0 deny udp from any to any dst-port 135-139 via bge1

00057 0 0 deny tcp from any to any dst-port 135-139,445 via bge1

00065 0 0 deny tcp from 10.128.10.0/23 to any dst-port 25

00066 0 0 deny tcp from 172.16.20.0/23 to any dst-port 25

00070 692 183336 allow tcp from me to any keep-state

00071 9452 889924 allow udp from me to any keep-state

00072 628 124616 allow icmp from me to any out icmptypes 0,3,8 keep-state

00080 651 334387 allow tcp from any to me dst-port 80,9443 keep-state

00082 692 223964 allow tcp from any to me dst-port 3301,3503 keep-state

00095 19950 1695594 allow udp from any to me dst-port 53 keep-state

00100 12562 1253702 allow icmp from any to me in via bge0 icmptypes 0,3,8 keep-state

00101 0 0 allow icmp from any to me in via re0 icmptypes 0,3,8 keep-state

00102 4 604 allow icmp from any to me in via bge1 icmptypes 0,3,8 keep-state

00103 0 0 deny log logamount 100 icmp from any to me in via bge0 icmptypes 5,9,13,14,16,17

65060 6682369 5156268883 nat 1 ip from any to any via bge0

65061 2718091 357335723 allow ip from 172.16.20.0/23 to any

65062 3743898 4781073926 allow ip from any to 172.16.20.0/23

65532 286 38318 allow tcp from any to any established

65533 90 31032 deny ip from any to 255.255.255.255

65534 6930 497792 deny log logamount 100 ip from any to any

65535 708013 207369777 allow ip from any to any

 

 

[kvirtu 315]

млять ,

ipfw pipe show  - пусто

[kvirtu 315]

млять ,

ipfw pipe show  - пусто

у меня же все в таблицах + ng_car

Global shaper

10000 netgraph tablearg ip from table(10) to any in recv ng*

10010 netgraph tablearg ip from any to table(11) out xmit ng*

10020 allow ip from table(9) to any in recv ng*

10025 allow ip from any to table(9) out xmit ng*

ABillS NAT start

 NAT start

ipfw nat 21 config ip х.х.х.х log

60010 nat tablearg ip from table(34) to any via bge0

01020 nat tablearg ip from any to table(33) via bge0 in

 

Відредаговано 2015-02-16 15:54:50 kvirtu

[kha0s 112]

Ничего не понимаю - почему в выводе ipfw show нету правил с последнего поста? Файрвол и абилс с его натом и шейпером в разных вселенных живут?

[kvirtu 315]

Ничего не понимаю - почему в выводе ipfw show нету правил с последнего поста? Файрвол и абилс с его натом и шейпером в разных вселенных живут?

http://abills.net.ua/wiki/doku.php/abills:docs:manual:ng_car

[kvirtu 315]

Может я и ошибась, но меня вроде досят из сетки.

Вот сейчас все нормально: сессой онлайн более 100 , траффик примерно 60 Мбит, в /var/log/security - ничего не сыпется.

Как только в логи сыпется из локалки :

Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.86:1339 91.196.7.46:61818 in via bge1
Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.86:1300 46.254.16.107:80 in via bge1
Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.127:51326 87.240.131.120:443 in via bge1
Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.86:1340 92.52.187.70:11577 in via bge1
Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny UDP 10.128.10.154:62985 50.157.178.60:51622 in via bge1
Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny UDP 10.128.10.154:62985 178.93.145.0:37648 in via bge1
Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny UDP 10.128.10.154:62985 36.63.30.85:11264 in via bge1
Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny UDP 10.128.10.154:62985 118.176.107.134:61455 in via bge1

Сразу капец : swi1: net - 100 %

Відредаговано 2015-02-16 16:23:05 kvirtu

[kha0s 112]

 

Ничего не понимаю - почему в выводе ipfw show нету правил с последнего поста? Файрвол и абилс с его натом и шейпером в разных вселенных живут?

http://abills.net.ua/wiki/doku.php/abills:docs:manual:ng_car

 

я знаю что такое ng_car. Я о том что :

 

 

10000 netgraph tablearg ip from table(10) to any in recv ng* 10010 netgraph tablearg ip from any to table(11) out xmit ng* 10020 allow ip from table(9) to any in recv ng* 10025 allow ip from any to table(9) out xmit ng* ABillS NAT start  NAT start ipfw nat 21 config ip х.х.х.х log 60010 nat tablearg ip from table(34) to any via bge0 01020 nat tablearg ip from any to table(33) via bge0 in

 Почему в листинге ipfw show что выше я не вижу правил номер: 10000, 10010, 10020, 10025, 60010 и 01020. Они хоть и динамически, но добавляются и в живом листинге обязаны присутствовать.

[kha0s 112]

Может я и ошибась, но меня вроде досят из сетки.

Вот сейчас все нормально: сессой онлайн более 100 , траффик примерно 60 Мбит, в /var/log/security - ничего не сыпется.

Как только в логи сыпется из локалки :

Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.86:1339 91.196.7.46:61818 in via bge1

Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.86:1300 46.254.16.107:80 in via bge1

Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.127:51326 87.240.131.120:443 in via bge1

Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.86:1340 92.52.187.70:11577 in via bge1

Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny UDP 10.128.10.154:62985 50.157.178.60:51622 in via bge1

Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny UDP 10.128.10.154:62985 178.93.145.0:37648 in via bge1

Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny UDP 10.128.10.154:62985 36.63.30.85:11264 in via bge1

Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny UDP 10.128.10.154:62985 118.176.107.134:61455 in via bge1

Сразу капец : swi1: net - 100 %

Так не логируй этот мусор. Именно на большом потоке скорее всего из-за логирования он и крешит систему. И вообще убивай его еще на первых правилах файрвола.

Это не dos, это банальный выход в инет с сети 10.128.10.00.24 (почему она не прибита по входу из bge1?). А поскольку в нат эта сеть не заворачивается она петляет файрволом и дохнет на его последнем правиле.

Відредаговано 2015-02-16 17:07:08 kha0s

[kvirtu 315]

 

 

Ничего не понимаю - почему в выводе ipfw show нету правил с последнего поста? Файрвол и абилс с его натом и шейпером в разных вселенных живут?

http://abills.net.ua/wiki/doku.php/abills:docs:manual:ng_car

 

я знаю что такое ng_car. Я о том что :

 

 

 

10000 netgraph tablearg ip from table(10) to any in recv ng* 10010 netgraph tablearg ip from any to table(11) out xmit ng* 10020 allow ip from table(9) to any in recv ng* 10025 allow ip from any to table(9) out xmit ng* ABillS NAT start  NAT start ipfw nat 21 config ip х.х.х.х log 60010 nat tablearg ip from table(34) to any via bge0 01020 nat tablearg ip from any to table(33) via bge0 in

 Почему в листинге ipfw show что выше я не вижу правил номер: 10000, 10010, 10020, 10025, 60010 и 01020. Они хоть и динамически, но добавляются и в живом листинге обязаны присутствовать.

Я однако, в тот момент шейпера выключил.

вот:

 

 

00005 844 65238 fwd 10.128.10.1 tcp from 172.16.30.0/24 to any

00010 16606 2670152 allow ip from any to any via lo0

00015 0 0 deny ip from any to 127.0.0.0/8

00030 0 0 check-state

00040 0 0 reject log logamount 100 tcp from any to any tcpflags syn,fin,ack,psh,rst,urg

00041 5 260 reject log logamount 100 tcp from any to any tcpflags !syn,!fin,!ack,!psh,!rst,!urg

00042 0 0 reject log logamount 100 tcp from any to any not established tcpflags fin

00043 2543 191581 deny log logamount 100 ip from any to any not verrevpath in via bge0

00044 544 24965 deny tcp from any to any tcpoptions !mss setup

00045 167 9352 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17

00050 21 1638 deny udp from any 135-139 to any via bge0

00051 0 0 deny tcp from any 135-139,445 to any via bge0

00052 2 301 deny udp from any to any dst-port 135-139 via bge0

00053 1 64 deny tcp from any to any dst-port 135-139,445 via bge0

00054 20894 1710422 deny udp from any 135-139 to any via bge1

00055 0 0 deny tcp from any 135-139,445 to any via bge1

00056 2 156 deny udp from any to any dst-port 135-139 via bge1

00057 4 240 deny tcp from any to any dst-port 135-139,445 via bge1

00065 5 272 deny tcp from 10.128.10.0/23 to any dst-port 25

00066 0 0 deny tcp from 172.16.20.0/23 to any dst-port 25

00070 7057 1823086 allow tcp from me to any keep-state

00071 124773 12289001 allow udp from me to any keep-state

00072 6284 1281580 allow icmp from me to any out icmptypes 0,3,8 keep-state

00080 29395 6442791 allow tcp from any to me dst-port 80,9443 keep-state

00082 4422 1205736 allow tcp from any to me dst-port 3301,3503 keep-state

00095 243872 21609284 allow udp from any to me dst-port 53 keep-state

00100 124811 12278570 allow icmp from any to me in via bge0 icmptypes 0,3,8 keep-state

00101 0 0 allow icmp from any to me in via re0 icmptypes 0,3,8 keep-state

00102 62 8871 allow icmp from any to me in via bge1 icmptypes 0,3,8 keep-state

00103 0 0 deny log logamount 100 icmp from any to me in via bge0 icmptypes 5,9,13,14,16,17

01020 29194367 32303718863 nat tablearg ip from any to table(33) via bge0 in

01020 0 0 nat tablearg ip from any to table(33) via bge0 in

01020 0 0 nat tablearg ip from any to table(33) via bge0 in

01020 0 0 nat tablearg ip from any to table(33) via bge0 in

01020 0 0 nat tablearg ip from any to table(33) via bge0 in

09970 0 0 skipto 10130 ip from table(14) to table(3) in recv ng*

09975 0 0 skipto 10135 ip from table(3) to table(15) out xmit ng*

09980 0 0 skipto 10120 ip from table(12) to table(2) in recv ng*

09985 0 0 skipto 10125 ip from table(2) to table(13) out xmit ng*

10000 5179308 1398294708 netgraph tablearg ip from table(10) to any in recv ng*

10010 6341748 7074326152 netgraph tablearg ip from any to table(11) out xmit ng*

10020 0 0 allow ip from table(9) to any in recv ng*

10025 0 0 allow ip from any to table(9) out xmit ng*

10120 0 0 netgraph tablearg ip from table(12) to any in recv ng*

10125 0 0 netgraph tablearg ip from any to table(13) out xmit ng*

10130 0 0 netgraph tablearg ip from table(14) to any in recv ng*

10135 0 0 netgraph tablearg ip from any to table(15) out xmit ng*

10220 0 0 allow ip from table(9) to table(2) in recv ng*

10225 0 0 allow ip from table(2) to table(9) out xmit ng*

10230 0 0 allow ip from table(9) to table(3) in recv ng*

10235 0 0 allow ip from table(3) to table(9) out xmit ng*

60010 5164460 1390721671 nat tablearg ip from table(34) to any via bge0

65060 81736 59269868 nat 1 ip from any to any via bge0

65061 50215 7963683 allow ip from 172.16.20.0/23 to any

65062 53754 59583135 allow ip from any to 172.16.20.0/23

65532 950 77196 allow tcp from any to any established

65533 5279 1418102 deny ip from any to 255.255.255.255

65534 175702 10473382 deny log logamount 100 ip from any to any

65535 708270 207560603 allow ip from any to any

 

 

[kvirtu 315]

 

Может я и ошибась, но меня вроде досят из сетки.

Вот сейчас все нормально: сессой онлайн более 100 , траффик примерно 60 Мбит, в /var/log/security - ничего не сыпется.

Как только в логи сыпется из локалки :

Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.86:1339 91.196.7.46:61818 in via bge1

Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.86:1300 46.254.16.107:80 in via bge1

Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.127:51326 87.240.131.120:443 in via bge1

Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.86:1340 92.52.187.70:11577 in via bge1

Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny UDP 10.128.10.154:62985 50.157.178.60:51622 in via bge1

Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny UDP 10.128.10.154:62985 178.93.145.0:37648 in via bge1

Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny UDP 10.128.10.154:62985 36.63.30.85:11264 in via bge1

Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny UDP 10.128.10.154:62985 118.176.107.134:61455 in via bge1

Сразу капец : swi1: net - 100 %

Так не логируй этот мусор. Именно на большом потоке скорее всего из-за логирования он и крешит систему. И вообще убивай его еще на первых правилах файрвола.

Это не dos, это банальный выход в инет с сети 10.128.10.00.24 (почему она не прибита по входу из bge1?). А поскольку в нат эта сеть не заворачивается она петляет файрволом и дохнет на его последнем правиле.

 

так я уже ж все правила убирал, кроме НАТа - нагрузка не спадала. А так видно чьи компы делают "каку". Будем идти в гости