Jump to content
Local
kvirtu

FreeBSD 7.2 - Высокий load averages

Recommended Posts

В любом случае - с правила 65534 надо убрать log logamount 100 вообще.

Share this post


Link to post
Share on other sites

В любом случае - с правила 65534 надо убрать log logamount 100 вообще.

тогда же логирования не будет ?

Share this post


Link to post
Share on other sites

А нафиг оно вам? Человек 2 страницы пытается объяснить, что любое логгирование в фаерволе - зло, именно оно может ложить машину в самой безобидной ситуации.

Сравните затраты на тупую маршрутизацию пакета, и затраты на разборку пакета в текст и запись строки в файл для каждого пакета.

Share this post


Link to post
Share on other sites

Да не зло там log и вообще ничего не стоит если просто указано в правиле, зато удобно, когда нужно. Это все в мане написано, если что. А кому сильно интересно, можно исходник глянуть и убедиться.

 

Как по мне, то в проблеме автора нет смысла рыться без профайлинга. И вообще дешевле заменить старое железо на современное, которое на порядок мощнее.

Share this post


Link to post
Share on other sites

Да не зло там log и вообще ничего не стоит если просто указано в правиле, зато удобно, когда нужно. Это все в мане написано, если что. А кому сильно интересно, можно исходник глянуть и убедиться.

 

Как по мне, то в проблеме автора нет смысла рыться без профайлинга. И вообще дешевле заменить старое железо на современное, которое на порядок мощнее.

Сетевые igb на подходе + не новый, но сервачек HP G5, CPU X3050

Edited by kvirtu

Share this post


Link to post
Share on other sites

А нафиг оно вам? Человек 2 страницы пытается объяснить, что любое логгирование в фаерволе - зло, именно оно может ложить машину в самой безобидной ситуации.

Сравните затраты на тупую маршрутизацию пакета, и затраты на разборку пакета в текст и запись строки в файл для каждого пакета.

так уже писал же, в фаере в моменты скачков нагрузки оставлял только НАТ - не помогало.

Вчера вечером , около 18 - был затык, и в логи сыпалось !!!  отключил шейпер - инет кое-какой был у клиентов. Потом около 19 само собой стабилизировалось, в логи прекратило сыпать ,  при том что это как раз время ЧНН ?

Share this post


Link to post
Share on other sites

Сетевые igb на подходе + не новый, но сервачек HP G5, CPU X3050

Ну это реально какой-то мазохизм :)

Поменяли e5400(2c/2.7Ghz, s775) на xeon 3075(2c/2.66Ghz, s775) и сейчас хотите поменять еще раз на xeon 3050(2c/2.1Ghz,s775)? Зачем?

Возьмите сразу HP G6 на s1366, младшие модели на форуме у valrevan'a можно баксов за 300 взять, а разница в скорости между поколениями многократная.

Share this post


Link to post
Share on other sites

 

Сетевые igb на подходе + не новый, но сервачек HP G5, CPU X3050

Ну это реально какой-то мазохизм :)

Поменяли e5400(2c/2.7Ghz, s775) на xeon 3075(2c/2.66Ghz, s775) и сейчас хотите поменять еще раз на xeon 3050(2c/2.1Ghz,s775)? Зачем?

Возьмите сразу HP G6 на s1366, младшие модели на форуме у valrevan'a можно баксов за 300 взять, а разница в скорости между поколениями многократная.

 

на xeon 3075(2c/2.66Ghz, s775) еще не менял, сейчас стоит декстопная мать асус. Буду менять на G5+ Х3050, 2,6, 1333, 4 М

Edited by kvirtu

Share this post


Link to post
Share on other sites

Нет такого камня X3050. Есть просто 3050, слабенький старый камень.

Share this post


Link to post
Share on other sites

Нет такого камня X3050. Есть просто 3050, слабенький старый камень.

сори, обшибся: X3075, 2.66, 4M

Share this post


Link to post
Share on other sites

Может я и ошибась, но меня вроде досят из сетки.

Вот сейчас все нормально: сессой онлайн более 100 , траффик примерно 60 Мбит, в /var/log/security - ничего не сыпется.

Как только в логи сыпется из локалки :

Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.86:1339 91.196.7.46:61818 in via bge1

Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.86:1300 46.254.16.107:80 in via bge1

Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.127:51326 87.240.131.120:443 in via bge1

Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny TCP 10.128.10.86:1340 92.52.187.70:11577 in via bge1

Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny UDP 10.128.10.154:62985 50.157.178.60:51622 in via bge1

Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny UDP 10.128.10.154:62985 178.93.145.0:37648 in via bge1

Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny UDP 10.128.10.154:62985 36.63.30.85:11264 in via bge1

Feb 16 17:25:39 darnet kernel: ipfw: 65534 Deny UDP 10.128.10.154:62985 118.176.107.134:61455 in via bge1

Сразу капец : swi1: net - 100 %

Подскажите, что может генерить подобную срань ?

Share this post


Link to post
Share on other sites

http/torrent

 

да відключіть вже netisr....

Share this post


Link to post
Share on other sites

 

 

Подскажите, что может генерить подобную срань ?

 

Я уже писал кто - ищи выше. повторю в 3-й раз вопрос - почему этот траффик вообще покидает bge1? Ведь в нат ему я так понимаю низзя. 

Share this post


Link to post
Share on other sites

 

Подскажите, что может генерить подобную срань ?

 

Я уже писал кто - ищи выше. повторю в 3-й раз вопрос - почему этот траффик вообще покидает bge1? Ведь в нат ему я так понимаю низзя. 

 

10.128.10.х - локалка , 172.16.20.х - НАТ

Выходит мне надо запретить до НАТа эту срань на bge1 ?

Share this post


Link to post
Share on other sites

http/torrent

 

да відключіть вже netisr....

top -SH  | grep isr - ничего не вводит

Share this post


Link to post
Share on other sites

С bge1 надо пропускать только то, что можно. Можно только 172.16.20.х ? Его в pass (пусть гуляет по правилам). Остальное - deny (и никаких логов).

Share this post


Link to post
Share on other sites

С bge1 надо пропускать только то, что можно. Можно только 172.16.20.х ? Его в pass (пусть гуляет по правилам). Остальное - deny (и никаких логов).

эти правила:#Internal interface Netbios BLOCK${fwcmd} add 54 deny udp from any 135-139 to any via fxp1 # netbios ${fwcmd} add 55 deny tcp from any 135-139,445 to any via  fxp1 # netbios ${fwcmd} add 56 deny udp from any to any 135-139 via fxp1 # netbios ${fwcmd} add 57 deny tcp from any to any 135-139,445 via fxp1 # netbios

Поменять на эти ?

${fwcmd} add 54 deny udp from any to any 1-52,54-79,81-65355 via bge1 # ${fwcmd} add 55 deny tcp from any to any 1-52,54-79,81-65355 via  bge1 # 

172.16.20.х - это PPPOE

Edited by kvirtu

Share this post


Link to post
Share on other sites

Ну зачем столько паранойи? Запрещай доступ к тем сервисам, которые у тебя реально подняты. Не придется искать черных кошек в темных комнатах.

Share this post


Link to post
Share on other sites

Ну зачем столько паранойи? Запрещай доступ к тем сервисам, которые у тебя реально подняты. Не придется искать черных кошек в темных комнатах.

блин, ну так я разрешил доступ из локалки на 53 (днс) и 80 порт (локальный сайт)  , остальное нафиг ?

Share this post


Link to post
Share on other sites

 

http/torrent

 

да відключіть вже netisr....

top -SH  | grep isr - ничего не вводит

 

у меня 7.2 так такого нет, сцылка

Share this post


Link to post
Share on other sites

Как-то так всё что касается bge1 (одним номером все правила для удобства):

 

${fwcmd} add 50 allow ip from any to any via bge1 // sam k sebe

${fwcmd} add 50 allow tcp from 10.128.10.0/24 to me dst-port 80 in recv bge1 // localka k nashemu www

${fwcmd} add 50 allow udp from 10.128.10.0/24 to me dst-port 53 in recv bge1 // localka v nash DNS

${fwcmd} add 50 skipto 51 ip from 172.16.20.0/24 to any in recv bge1 // PPPoE idet dalshe

${fwcmd} add 50 deny ip from any to any in recv bge1 // ostalnoe rezhem

 

Подразумевается что где-то после шейпера и ната присутствует:

 

allow ip from me to any

 

Ну и лучше не привязываться к имени физического инт-са, в случае замены драйвера долго лазить везьде и искать чего менять. Назвать как-то для себя.

Edited by kha0s

Share this post


Link to post
Share on other sites

Как-то так всё что касается bge1 (одним номером все правила для удобства):

 

${fwcmd} add 50 allow ip from any to any via bge1 // sam k sebe

${fwcmd} add 50 allow tcp from 10.128.10.0/24 to me dst-port 80 in recv bge1 // localka k nashemu www

${fwcmd} add 50 allow udp from 10.128.10.0/24 to me dst-port 53 in recv bge1 // localka v nash DNS

${fwcmd} add 50 skipto 51 ip from 172.16.20.0/24 to any in recv bge1 // PPPoE idet dalshe

${fwcmd} add 50 deny ip from any to any in recv bge1 // ostalnoe rezhem

 

Подразумевается что где-то после шейпера и ната присутствует:

 

allow ip from me to any

 

Ну и лучше не привязываться к имени физического инт-са, в случае замены драйвера долго лазить везьде и искать чего менять. Назвать как-то для себя.

спс,

${fwcmd} add 50 skipto 51 ip from 172.16.20.0/24 to any in recv bge1 // PPPoE idet dalshe - 51 это след. правило ?

Share this post


Link to post
Share on other sites

 

 

спс, ${fwcmd} add 50 skipto 51 ip from 172.16.20.0/24 to any in recv bge1 // PPPoE idet dalshe - 51 это след. правило ?

Да, суть - перепрыгнуть завершающий deny и пойти дальше проверяться по правилам. 

Share this post


Link to post
Share on other sites

 

спс, ${fwcmd} add 50 skipto 51 ip from 172.16.20.0/24 to any in recv bge1 // PPPoE idet dalshe - 51 это след. правило ?

Да, суть - перепрыгнуть завершающий deny и пойти дальше проверяться по правилам. 

 

понял, спс.

У меня по правилам получаеться, что сначала идет шейпер, а потом НАТ - это правильно ?

И получилось что после щейпера и НАТа

65530 allow ip from me to any

Share this post


Link to post
Share on other sites

Впринципе без разницы - что мучать нат, потом жать, что наоборот. Хотя по логике, если пакет наш - зачем его в нат пихать? Пусть сразу улетает на выходе из шейпера к клиенту. Т.е.  allow ip from me to any поставить после шейпера но до ната. Лишняя нагрузка на нат ни к чему. Но при этом входящие пакеты соотв. тоже незачем заворачивать в нат, если они предназначены локальным IP (to me).

Edited by kha0s

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×