Перейти до

FreeBSD 7.2 - Высокий load averages

kvirtu

Автор: kvirtu,
в Цілісність системи

 Share Подписчики 3

Рекомендованные сообщения

kvirtu

kvirtu 315

Опубліковано:
  • Автор
Опубліковано:

 

подскажите, плиз, правила, которые нафиг нужно снести ?

 

Все в которых встречается слово state и предпоследнее (глобальный deny). Добавить те, что я ранее писал. Они хорошо отфильтруют мусор и не нагрузят зря систему. Как то я пропустил мимо о, что это же НАТ для такой тучи клиентов и весь он через состояния к тому-же крутится.

 

понял, спс

Ссылка на сообщение
Поделиться на других сайтах
  • Відповіді 321
  • Створено
  • Остання відповідь

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

KaYot

До перехода на линукс все ещё не созрели? Если есть другой комплект железа - разверните все тоже под линуксами и потестируйте. Кто-то вон даже помощь предлагал.

KaYot

Видите, на каждой странице звучат призывы переходить на linux. И это не холивар или попытки под№"%ть - такова суровая реальность. Допускаю что по всем параметрам системы примерно равны и непринципиа

Ромка

Оффтоп. Собирался как-то было дело freebsd по изучать, для общего развития, всё руки не доходили. Вы меня убедили что оно того не стОит. Спасибо ребята за топик!

Posted Images

kvirtu

kvirtu 315

Опубліковано:
  • Автор
Опубліковано:

 

подскажите, плиз, правила, которые нафиг нужно снести ?

 

Все в которых встречается слово state и предпоследнее (глобальный deny). Добавить те, что я ранее писал. Они хорошо отфильтруют мусор и не нагрузят зря систему. Как то я пропустил мимо о, что это же НАТ для такой тучи клиентов и весь он через состояния к тому-же крутится.

 

Если, эти ?

то уже работают .

 

${fwcmd} add 50 allow ip from any to any via bge1 // sam k sebe

${fwcmd} add 50 allow tcp from 10.128.10.0/24 to me dst-port 80 in recv bge1 // localka k nashemu www

${fwcmd} add 50 allow udp from 10.128.10.0/24 to me dst-port 53 in recv bge1 // localka v nash DNS

${fwcmd} add 50 skipto 51 ip from 172.16.20.0/24 to any in recv bge1 // PPPoE idet dalshe

${fwcmd} add 50 deny ip from any to any in recv bge1 // ostalnoe rezhem

 

Подразумевается что где-то после шейпера и ната присутствует:

 

allow ip from me to any

 

правило 65534 - удалил

Ссылка на сообщение
Поделиться на других сайтах
kvirtu

kvirtu 315

Опубліковано:
  • Автор
Опубліковано:

Не, я о правилах с антиспуфингом и реверспаз.

если не ...

продублируйте , плиз

 

я на сегодня спекся ...

Всем спокойно ночи .

Ссылка на сообщение
Поделиться на других сайтах
kha0s

kha0s 112

Опубліковано:
Опубліковано:
${fwcmd} add 10 deny ip from any to any not verrevpath in

${fwcmd} add 11 deny ip from any to any not antispoof in

 

Первое можно с уточнением входящего инт-са, как я показывал несколькими страницами ранее, но можно и глобально. На первое время можно с логированием ограничив количество однотипных записей через logamount.

Ссылка на сообщение
Поделиться на других сайтах
kvirtu

kvirtu 315

Опубліковано:
  • Автор
Опубліковано: (відредаговано)

 

${fwcmd} add 10 deny ip from any to any not verrevpath in
${fwcmd} add 11 deny ip from any to any not antispoof in
 
Первое можно с уточнением входящего инт-са, как я показывал несколькими страницами ранее, но можно и глобально. На первое время можно с логированием ограничив количество однотипных записей через logamount.

 

спс, добавил

${fwcmd} add 20 deny log ip from any to any not verrevpath in
${fwcmd} add 21 deny log ip from any to any not antispoof in
 
а что делать с правилами check-state ?
Відредаговано kvirtu
Ссылка на сообщение
Поделиться на других сайтах
Al G

Al G 0

Опубліковано:
Опубліковано: (відредаговано)

${fwcmd} add 10 deny ip from any to any not verrevpath in 

${fwcmd} add 11 deny ip from any to any not antispoof in

Зачем?

antispoof работает только для обслуживаемых сеток - аплинк и абоненты. И что там по udp подменять - днс?

verrevpath - тоже крайне сомнительно.

в итоге - +2 правила.

Відредаговано ZуXEL
Ссылка на сообщение
Поделиться на других сайтах
KaYot

KaYot 3 604

Опубліковано:
Опубліковано:

Из-за 2(и даже 200) правил машина на таком смешном PPS тупить не может.

Тут вероятно где-то биллинг создает корявые линейные правила для фаервола и/или шейпера.

С вероятностью в 99% замена железа на что-то уровня i5-2500 под s1155(ну или сервер на 1366) проблему решит тупо за счет огромного запаса мощности.

Ссылка на сообщение
Поделиться на других сайтах
kha0s

kha0s 112

Опубліковано:
Опубліковано:

 

 

antispoof работает только для обслуживаемых сеток - аплинк и абоненты. И что там по udp подменять - днс? verrevpath - тоже крайне сомнительно.

 

У него с PPPoE приходят пакеты с src_ip локалки и наоборот (пару страниц назад в логах было видно). И всякий левонет типа 192.168.x.x с клиентских ng уберет. Надо. Я бы сказал - обязательно у всех на клиентских подключениях. Спуфинг тоже неплохо закрыть. Любой олень из инета может послать пакет с подделаным src_ip - типа с его же сервера. Лучше закрыться и не думать в каком сервисе это может боком выползти.

Ссылка на сообщение
Поделиться на других сайтах
kvirtu

kvirtu 315

Опубліковано:
  • Автор
Опубліковано:

 

${fwcmd} add 10 deny ip from any to any not verrevpath in 

${fwcmd} add 11 deny ip from any to any not antispoof in

Зачем?

antispoof работает только для обслуживаемых сеток - аплинк и абоненты. И что там по udp подменять - днс?

verrevpath - тоже крайне сомнительно.

в итоге - +2 правила.

 

вух,

 

Из-за 2(и даже 200) правил машина на таком смешном PPS тупить не может.

Тут вероятно где-то биллинг создает корявые линейные правила для фаервола и/или шейпера.

С вероятностью в 99% замена железа на что-то уровня i5-2500 под s1155(ну или сервер на 1366) проблему решит тупо за счет огромного запаса мощности.

Таки ДА, отключай шейпера от абилса - все стабилизируется

Ссылка на сообщение
Поделиться на других сайтах
kha0s

kha0s 112

Опубліковано:
Опубліковано: (відредаговано)
Из-за 2(и даже 200) правил машина на таком смешном PPS тупить не может.

 

200? У него весь нат через стейты динамически в мир лезет. Пара сотен клиентов по паре сотен запросов. Достаточно, что-бы файрвол раком машину ставил? 

 

На этом фоне +- 10 правил вообще ничто.

Відредаговано kha0s
Ссылка на сообщение
Поделиться на других сайтах
kha0s

kha0s 112

Опубліковано:
Опубліковано:

Все правила в которых есть слово state. И завершающий deny (предпоследнее) тоже удалить. У тебя в файрволе образно говоря десятки тысяч правил. Это каждый входящий пакет эти десятки тысяч должен пройти. Урежь до пары десятков правил и думаю проблему забудешь. В правилах со state при прохождении через него пакета создается динамическое правило, которым надо обработать ответный пакет. У тебя НАТ. Представь что 10 клиентов запустило торрент скажем по 300-500 потоков. Каждый поток - отдельное правило в файрволе. Представь что клиентов таких больше сотни.

Ссылка на сообщение
Поделиться на других сайтах
kvirtu

kvirtu 315

Опубліковано:
  • Автор
Опубліковано:

в фаере сейчас оставил только NAT&шейпер

 

 

darnet# ipfw list

00010 allow ip from any to any via lo0

00015 deny ip from any to 127.0.0.0/8

01020 nat tablearg ip from any to table(33) via igb0 in

09970 skipto 10130 ip from table(14) to table(3) in recv ng*

09975 skipto 10135 ip from table(3) to table(15) out xmit ng*

09980 skipto 10120 ip from table(12) to table(2) in recv ng*

09985 skipto 10125 ip from table(2) to table(13) out xmit ng*

10000 netgraph tablearg ip from table(10) to any in recv ng*

10010 netgraph tablearg ip from any to table(11) out xmit ng*

10020 allow ip from table(9) to any in recv ng*

10025 allow ip from any to table(9) out xmit ng*

10120 netgraph tablearg ip from table(12) to any in recv ng*

10125 netgraph tablearg ip from any to table(13) out xmit ng*

10130 netgraph tablearg ip from table(14) to any in recv ng*

10135 netgraph tablearg ip from any to table(15) out xmit ng*

10220 allow ip from table(9) to table(2) in recv ng*

10225 allow ip from table(2) to table(9) out xmit ng*

10230 allow ip from table(9) to table(3) in recv ng*

10235 allow ip from table(3) to table(9) out xmit ng*

60010 nat tablearg ip from table(34) to any via igb0

65060 nat 1 ip from any to any via igb0

65061 allow ip from 172.16.20.0/23 to any

65062 allow ip from any to 172.16.20.0/23

65535 allow ip from any to any

 

 

Ссылка на сообщение
Поделиться на других сайтах
kha0s

kha0s 112

Опубліковано:
Опубліковано: (відредаговано)

65061 b 65062 в этом случае лишние. Последнее правило и так всё пропустит. Вот на этом примере загрузка ipfw сужается до ната и шейпера. правила с табличками пока игнорирую - не зная что в них трудно предугадать логику поведения файрвола.

Відредаговано kha0s
Ссылка на сообщение
Поделиться на других сайтах
kvirtu

kvirtu 315

Опубліковано:
  • Автор
Опубліковано:

Кому-то не хватило. То-ли нату то-ли шейперу поди. Надо читать рекомендации по обеих.

Хочу так сделать:

ngctl: recv msg: No buffer space available

Есть некоторые моменты, которые следует учесть, если ваш сервер имеет большое количество соединений. Например, можно столкнуться с ситуацией, когда при выводе комманды ngctl list будет выдававаться No buffer space available. Чтобы этого избежать следует добавить в /boot/loader.conf:

kern.ipc.nmbclusters=16384

kern.ipc.maxsockets=16384

net.graph.maxalloc=2048

kern.maxusers=512

kern.ipc.maxpipekva=32000000

в /etc/sysctl.conf:

net.graph.maxdgram=128000

net.graph.recvspace=128000

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
 Share
Подписчики 3
Перейти до переліку тем

  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...