kvirtu 315 Опубліковано: 2015-02-17 17:11:00 Автор Share Опубліковано: 2015-02-17 17:11:00 pmcstat -S instructions -O /tmp/sample.out &sleep 30 && killall pmcstatpmcstat -R /tmp/sample.out -g && gprof -l -K INSTR_RETIRED_ANY/kernel |head -n 60 | tail -n 25 тільки для початку kldload pmc здається так повинно бути kldload: can't load pmc: No such file or directory так вибачаюсь, hwpmc, але гугл могли і ви відкрити kldload: can't load hwpmc: No such file or directory Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-17 17:13:54 Автор Share Опубліковано: 2015-02-17 17:13:54 Что говорят: ipfw list ipfw show sysctl net.inet.ip.fw.one_pass ? ipfw list 00005 fwd 10.128.10.1 tcp from 172.16.30.0/24 to any 00010 allow ip from any to any via lo0 00015 deny ip from any to 127.0.0.0/8 00030 check-state 00040 reject log logamount 100 tcp from any to any tcpflags syn,fin,ack,psh,rst,urg 00041 reject log logamount 100 tcp from any to any tcpflags !syn,!fin,!ack,!psh,!rst,!urg 00042 reject log logamount 100 tcp from any to any not established tcpflags fin 00044 deny tcp from any to any tcpoptions !mss setup 00045 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17 00050 deny udp from any 135-139 to any via bge0 00051 deny tcp from any 135-139,445 to any via bge0 00052 deny udp from any to any dst-port 135-139 via bge0 00053 deny tcp from any to any dst-port 135-139,445 via bge0 00055 allow tcp from 10.128.10.0/23 to me dst-port 80 in recv bge1 // localka k nashemu www 00056 allow udp from 10.128.10.0/23 to me dst-port 53 in recv bge1 // localka v nash DNS 00057 skipto 65 ip from 172.16.20.0/23 to any in recv bge1 // PPPoE idet dalshe 00058 skipto 65 ip from 172.16.30.0/24 to any in recv bge1 // Dolgniki 00059 deny ip from any to any in recv bge1 // ostalnoe rezhem 00065 deny tcp from 10.128.10.0/23 to any dst-port 25 00066 deny tcp from 172.16.20.0/23 to any dst-port 25 00070 allow tcp from me to any keep-state 00071 allow udp from me to any keep-state 00072 allow icmp from me to any out icmptypes 0,3,8 keep-state 00080 allow tcp from any to me dst-port 80,9443 keep-state 00082 allow tcp from any to me dst-port 3301,3503 keep-state 00095 allow udp from any to me dst-port 53 keep-state 00100 allow icmp from any to me in via bge0 icmptypes 0,3,8 keep-state 00101 allow icmp from any to me in via re0 icmptypes 0,3,8 keep-state 00102 allow icmp from any to me in via bge1 icmptypes 0,3,8 keep-state 00103 deny log logamount 100 icmp from any to me in via bge0 icmptypes 5,9,13,14,16,17 01020 nat tablearg ip from any to table(33) via bge0 in 01020 nat tablearg ip from any to table(33) via bge0 in 09970 skipto 10130 ip from table(14) to table(3) in recv ng* 09975 skipto 10135 ip from table(3) to table(15) out xmit ng* 09980 skipto 10120 ip from table(12) to table(2) in recv ng* 09985 skipto 10125 ip from table(2) to table(13) out xmit ng* 10000 netgraph tablearg ip from table(10) to any in recv ng* 10010 netgraph tablearg ip from any to table(11) out xmit ng* 10020 allow ip from table(9) to any in recv ng* 10025 allow ip from any to table(9) out xmit ng* 10120 netgraph tablearg ip from table(12) to any in recv ng* 10125 netgraph tablearg ip from any to table(13) out xmit ng* 10130 netgraph tablearg ip from table(14) to any in recv ng* 10135 netgraph tablearg ip from any to table(15) out xmit ng* 10220 allow ip from table(9) to table(2) in recv ng* 10225 allow ip from table(2) to table(9) out xmit ng* 10230 allow ip from table(9) to table(3) in recv ng* 10235 allow ip from table(3) to table(9) out xmit ng* 60010 nat tablearg ip from table(34) to any via bge0 65060 nat 1 ip from any to any via bge0 65061 allow ip from 172.16.20.0/23 to any 65062 allow ip from any to 172.16.20.0/23 65530 allow ip from me to any 65532 allow tcp from any to any established 65533 deny ip from any to 255.255.255.255 65534 deny log logamount 100 ip from any to any 65535 allow ip from any to any ipfw show 00005 2653 173352 fwd 10.128.10.1 tcp from 172.16.30.0/24 to any 00010 7974 1383338 allow ip from any to any via lo0 00015 0 0 deny ip from any to 127.0.0.0/8 00030 0 0 check-state 00040 0 0 reject log logamount 100 tcp from any to any tcpflags syn,fin,ack,psh,rst,urg 00041 2 104 reject log logamount 100 tcp from any to any tcpflags !syn,!fin,!ack,!psh,!rst,!urg 00042 0 0 reject log logamount 100 tcp from any to any not established tcpflags fin 00044 389 17478 deny tcp from any to any tcpoptions !mss setup 00045 71 3976 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17 00050 0 0 deny udp from any 135-139 to any via bge0 00051 0 0 deny tcp from any 135-139,445 to any via bge0 00052 0 0 deny udp from any to any dst-port 135-139 via bge0 00053 0 0 deny tcp from any to any dst-port 135-139,445 via bge0 00055 0 0 allow tcp from 10.128.10.0/23 to me dst-port 80 in recv bge1 // localka k nashemu www 00056 60164 3759885 allow udp from 10.128.10.0/23 to me dst-port 53 in recv bge1 // localka v nash DNS 00057 0 0 skipto 65 ip from 172.16.20.0/23 to any in recv bge1 // PPPoE idet dalshe 00058 0 0 skipto 65 ip from 172.16.30.0/24 to any in recv bge1 // Dolgniki 00059 24497 2089175 deny ip from any to any in recv bge1 // ostalnoe rezhem 00065 0 0 deny tcp from 10.128.10.0/23 to any dst-port 25 00066 0 0 deny tcp from 172.16.20.0/23 to any dst-port 25 00070 3314 965202 allow tcp from me to any keep-state 00071 140115 13946236 allow udp from me to any keep-state 00072 3122 635056 allow icmp from me to any out icmptypes 0,3,8 keep-state 00080 3580 2111977 allow tcp from any to me dst-port 80,9443 keep-state 00082 1893 629092 allow tcp from any to me dst-port 3301,3503 keep-state 00095 32552 2897563 allow udp from any to me dst-port 53 keep-state 00100 104394 10079407 allow icmp from any to me in via bge0 icmptypes 0,3,8 keep-state 00101 0 0 allow icmp from any to me in via re0 icmptypes 0,3,8 keep-state 00102 0 0 allow icmp from any to me in via bge1 icmptypes 0,3,8 keep-state 00103 0 0 deny log logamount 100 icmp from any to me in via bge0 icmptypes 5,9,13,14,16,17 01020 20421687 22851534812 nat tablearg ip from any to table(33) via bge0 in 01020 0 0 nat tablearg ip from any to table(33) via bge0 in 09970 0 0 skipto 10130 ip from table(14) to table(3) in recv ng* 09975 0 0 skipto 10135 ip from table(3) to table(15) out xmit ng* 09980 0 0 skipto 10120 ip from table(12) to table(2) in recv ng* 09985 0 0 skipto 10125 ip from table(2) to table(13) out xmit ng* 10000 3276249 625842465 netgraph tablearg ip from table(10) to any in recv ng* 10010 4005565 4755157662 netgraph tablearg ip from any to table(11) out xmit ng* 10020 0 0 allow ip from table(9) to any in recv ng* 10025 0 0 allow ip from any to table(9) out xmit ng* 10120 0 0 netgraph tablearg ip from table(12) to any in recv ng* 10125 0 0 netgraph tablearg ip from any to table(13) out xmit ng* 10130 0 0 netgraph tablearg ip from table(14) to any in recv ng* 10135 0 0 netgraph tablearg ip from any to table(15) out xmit ng* 10220 0 0 allow ip from table(9) to table(2) in recv ng* 10225 0 0 allow ip from table(2) to table(9) out xmit ng* 10230 0 0 allow ip from table(9) to table(3) in recv ng* 10235 0 0 allow ip from table(3) to table(9) out xmit ng* 60010 3262855 617272743 nat tablearg ip from table(34) to any via bge0 65060 1459035 1109587305 nat 1 ip from any to any via bge0 65061 597213 125210629 allow ip from 172.16.20.0/23 to any 65062 794960 977457793 allow ip from any to 172.16.20.0/23 65530 0 0 allow ip from me to any 65532 1111 87805 allow tcp from any to any established 65533 3 984 deny ip from any to 255.255.255.255 65534 225 11594 deny log logamount 100 ip from any to any 65535 712377 210076763 allow ip from any to any net.inet.ip.fw.one_pass: 1 Ссылка на сообщение Поделиться на других сайтах
kha0s 112 Опубліковано: 2015-02-17 17:17:02 Share Опубліковано: 2015-02-17 17:17:02 kldload: can't load hwpmc: No such file or directory cd /sys/modules/hwpmc && make install Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-17 17:22:28 Автор Share Опубліковано: 2015-02-17 17:22:28 kldload: can't load hwpmc: No such file or directory cd /sys/modules/hwpmc && make install спс, Ссылка на сообщение Поделиться на других сайтах
kha0s 112 Опубліковано: 2015-02-17 17:25:17 Share Опубліковано: 2015-02-17 17:25:17 (відредаговано) net.inet.ip.fw.one_pass: 1 если net.inet.ip.fw.one_pass=1, то просмотр правил ipfw прекращается сразу после подпадание под queue или pipe правило. Если 0, то продолжается обработка далее идущих правил. Т.е. у вас весь файрвол после шейпера коту под хвост А хотя не факт - у вас же ng_car, не гуглил следует ли он этой политике. Відредаговано 2015-02-17 17:27:36 kha0s Ссылка на сообщение Поделиться на других сайтах
Ромка 567 Опубліковано: 2015-02-17 17:30:35 Share Опубліковано: 2015-02-17 17:30:35 pmcstat -S instructions -O /tmp/sample.out &sleep 30 && killall pmcstatpmcstat -R /tmp/sample.out -g && gprof -l -K INSTR_RETIRED_ANY/kernel |head -n 60 | tail -n 25 тільки для початку kldload pmc здається так повинно бути kldload: can't load pmc: No such file or directory так вибачаюсь, hwpmc, але гугл могли і ви відкрити та я одним глазом на форум, вторым на консоли сервака. Оффтоп. Собирался как-то было дело freebsd по изучать, для общего развития, всё руки не доходили. Вы меня убедили что оно того не стОит. Спасибо ребята за топик! пришло железо, завтра утром буду менять - отпишусь Ждём... cats_05.gif а чего сразу драма ? Та не обращайте внимание, то первое что нашел с попкорном))) Просто интересно чем оно всё закончится. Если надоест скажете, помогу с абиллсом на линуксе. Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-17 17:30:55 Автор Share Опубліковано: 2015-02-17 17:30:55 hwpmc.ko - есть в /boot/kernel , а грузится не хочет Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-17 17:32:08 Автор Share Опубліковано: 2015-02-17 17:32:08 net.inet.ip.fw.one_pass: 1 если net.inet.ip.fw.one_pass=1, то просмотр правил ipfw прекращается сразу после подпадание под queue или pipe правило. Если 0, то продолжается обработка далее идущих правил. Т.е. у вас весь файрвол после шейпера коту под хвост А хотя не факт - у вас же ng_car, не гуглил следует ли он этой политике. правило 65534 - работает Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-17 17:33:14 Автор Share Опубліковано: 2015-02-17 17:33:14 pmcstat -S instructions -O /tmp/sample.out &sleep 30 && killall pmcstatpmcstat -R /tmp/sample.out -g && gprof -l -K INSTR_RETIRED_ANY/kernel |head -n 60 | tail -n 25 тільки для початку kldload pmc здається так повинно бути kldload: can't load pmc: No such file or directory так вибачаюсь, hwpmc, але гугл могли і ви відкрити та я одним глазом на форум, вторым на консоли сервака. Оффтоп. Собирался как-то было дело freebsd по изучать, для общего развития, всё руки не доходили. Вы меня убедили что оно того не стОит. Спасибо ребята за топик! пришло железо, завтра утром буду менять - отпишусь Ждём... cats_05.gif а чего сразу драма ? Та не обращайте внимание, то первое что нашел с попкорном))) Просто интересно чем оно всё закончится. Если надоест скажете, помогу с абиллсом на линуксе. , победами за нами Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-17 17:35:51 Автор Share Опубліковано: 2015-02-17 17:35:51 вот сейчас: онлайн - 130 , траффик под 80 Мбит - все норм. Подскажите как смотреть pps ? Ссылка на сообщение Поделиться на других сайтах
ttttt 195 Опубліковано: 2015-02-17 17:44:24 Share Опубліковано: 2015-02-17 17:44:24 Подскажите как смотреть pps ?netstat -I em0 1 Ссылка на сообщение Поделиться на других сайтах
Al G 0 Опубліковано: 2015-02-17 18:14:47 Share Опубліковано: 2015-02-17 18:14:47 (відредаговано) ipfw list 00005 fwd 10.128.10.1 tcp from 172.16.30.0/24 to any 00010 allow ip from any to any via lo0 00015 deny ip from any to 127.0.0.0/8 00030 check-state 00040 reject log logamount 100 tcp from any to any tcpflags syn,fin,ack,psh,rst,urg 00041 reject log logamount 100 tcp from any to any tcpflags !syn,!fin,!ack,!psh,!rst,!urg 00042 reject log logamount 100 tcp from any to any not established tcpflags fin 00044 deny tcp from any to any tcpoptions !mss setup 00045 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17 00050 deny udp from any 135-139 to any via bge0 00051 deny tcp from any 135-139,445 to any via bge0 00052 deny udp from any to any dst-port 135-139 via bge0 00053 deny tcp from any to any dst-port 135-139,445 via bge0 00055 allow tcp from 10.128.10.0/23 to me dst-port 80 in recv bge1 // localka k nashemu www 00056 allow udp from 10.128.10.0/23 to me dst-port 53 in recv bge1 // localka v nash DNS 00057 skipto 65 ip from 172.16.20.0/23 to any in recv bge1 // PPPoE idet dalshe 00058 skipto 65 ip from 172.16.30.0/24 to any in recv bge1 // Dolgniki 00059 deny ip from any to any in recv bge1 // ostalnoe rezhem 00065 deny tcp from 10.128.10.0/23 to any dst-port 25 00066 deny tcp from 172.16.20.0/23 to any dst-port 25 00070 allow tcp from me to any keep-state 00071 allow udp from me to any keep-state 00072 allow icmp from me to any out icmptypes 0,3,8 keep-state 00080 allow tcp from any to me dst-port 80,9443 keep-state 00082 allow tcp from any to me dst-port 3301,3503 keep-state 00095 allow udp from any to me dst-port 53 keep-state 00100 allow icmp from any to me in via bge0 icmptypes 0,3,8 keep-state 00101 allow icmp from any to me in via re0 icmptypes 0,3,8 keep-state 00102 allow icmp from any to me in via bge1 icmptypes 0,3,8 keep-state 00103 deny log logamount 100 icmp from any to me in via bge0 icmptypes 5,9,13,14,16,17 01020 nat tablearg ip from any to table(33) via bge0 in 01020 nat tablearg ip from any to table(33) via bge0 in 09970 skipto 10130 ip from table(14) to table(3) in recv ng* 09975 skipto 10135 ip from table(3) to table(15) out xmit ng* 09980 skipto 10120 ip from table(12) to table(2) in recv ng* 09985 skipto 10125 ip from table(2) to table(13) out xmit ng* 10000 netgraph tablearg ip from table(10) to any in recv ng* 10010 netgraph tablearg ip from any to table(11) out xmit ng* 10020 allow ip from table(9) to any in recv ng* 10025 allow ip from any to table(9) out xmit ng* 10120 netgraph tablearg ip from table(12) to any in recv ng* 10125 netgraph tablearg ip from any to table(13) out xmit ng* 10130 netgraph tablearg ip from table(14) to any in recv ng* 10135 netgraph tablearg ip from any to table(15) out xmit ng* 10220 allow ip from table(9) to table(2) in recv ng* 10225 allow ip from table(2) to table(9) out xmit ng* 10230 allow ip from table(9) to table(3) in recv ng* 10235 allow ip from table(3) to table(9) out xmit ng* 60010 nat tablearg ip from table(34) to any via bge0 65060 nat 1 ip from any to any via bge0 65061 allow ip from 172.16.20.0/23 to any 65062 allow ip from any to 172.16.20.0/23 65530 allow ip from me to any 65532 allow tcp from any to any established 65533 deny ip from any to 255.255.255.255 65534 deny log logamount 100 ip from any to any 65535 allow ip from any to any ipfw show 00005 2653 173352 fwd 10.128.10.1 tcp from 172.16.30.0/24 to any 00010 7974 1383338 allow ip from any to any via lo0 00015 0 0 deny ip from any to 127.0.0.0/8 00030 0 0 check-state 00040 0 0 reject log logamount 100 tcp from any to any tcpflags syn,fin,ack,psh,rst,urg 00041 2 104 reject log logamount 100 tcp from any to any tcpflags !syn,!fin,!ack,!psh,!rst,!urg 00042 0 0 reject log logamount 100 tcp from any to any not established tcpflags fin 00044 389 17478 deny tcp from any to any tcpoptions !mss setup 00045 71 3976 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17 00050 0 0 deny udp from any 135-139 to any via bge0 00051 0 0 deny tcp from any 135-139,445 to any via bge0 00052 0 0 deny udp from any to any dst-port 135-139 via bge0 00053 0 0 deny tcp from any to any dst-port 135-139,445 via bge0 00055 0 0 allow tcp from 10.128.10.0/23 to me dst-port 80 in recv bge1 // localka k nashemu www 00056 60164 3759885 allow udp from 10.128.10.0/23 to me dst-port 53 in recv bge1 // localka v nash DNS 00057 0 0 skipto 65 ip from 172.16.20.0/23 to any in recv bge1 // PPPoE idet dalshe 00058 0 0 skipto 65 ip from 172.16.30.0/24 to any in recv bge1 // Dolgniki 00059 24497 2089175 deny ip from any to any in recv bge1 // ostalnoe rezhem 00065 0 0 deny tcp from 10.128.10.0/23 to any dst-port 25 00066 0 0 deny tcp from 172.16.20.0/23 to any dst-port 25 00070 3314 965202 allow tcp from me to any keep-state 00071 140115 13946236 allow udp from me to any keep-state 00072 3122 635056 allow icmp from me to any out icmptypes 0,3,8 keep-state 00080 3580 2111977 allow tcp from any to me dst-port 80,9443 keep-state 00082 1893 629092 allow tcp from any to me dst-port 3301,3503 keep-state 00095 32552 2897563 allow udp from any to me dst-port 53 keep-state 00100 104394 10079407 allow icmp from any to me in via bge0 icmptypes 0,3,8 keep-state 00101 0 0 allow icmp from any to me in via re0 icmptypes 0,3,8 keep-state 00102 0 0 allow icmp from any to me in via bge1 icmptypes 0,3,8 keep-state 00103 0 0 deny log logamount 100 icmp from any to me in via bge0 icmptypes 5,9,13,14,16,17 01020 20421687 22851534812 nat tablearg ip from any to table(33) via bge0 in 01020 0 0 nat tablearg ip from any to table(33) via bge0 in 09970 0 0 skipto 10130 ip from table(14) to table(3) in recv ng* 09975 0 0 skipto 10135 ip from table(3) to table(15) out xmit ng* 09980 0 0 skipto 10120 ip from table(12) to table(2) in recv ng* 09985 0 0 skipto 10125 ip from table(2) to table(13) out xmit ng* 10000 3276249 625842465 netgraph tablearg ip from table(10) to any in recv ng* 10010 4005565 4755157662 netgraph tablearg ip from any to table(11) out xmit ng* 10020 0 0 allow ip from table(9) to any in recv ng* 10025 0 0 allow ip from any to table(9) out xmit ng* 10120 0 0 netgraph tablearg ip from table(12) to any in recv ng* 10125 0 0 netgraph tablearg ip from any to table(13) out xmit ng* 10130 0 0 netgraph tablearg ip from table(14) to any in recv ng* 10135 0 0 netgraph tablearg ip from any to table(15) out xmit ng* 10220 0 0 allow ip from table(9) to table(2) in recv ng* 10225 0 0 allow ip from table(2) to table(9) out xmit ng* 10230 0 0 allow ip from table(9) to table(3) in recv ng* 10235 0 0 allow ip from table(3) to table(9) out xmit ng* 60010 3262855 617272743 nat tablearg ip from table(34) to any via bge0 65060 1459035 1109587305 nat 1 ip from any to any via bge0 65061 597213 125210629 allow ip from 172.16.20.0/23 to any 65062 794960 977457793 allow ip from any to 172.16.20.0/23 65530 0 0 allow ip from me to any 65532 1111 87805 allow tcp from any to any established 65533 3 984 deny ip from any to 255.255.255.255 65534 225 11594 deny log logamount 100 ip from any to any 65535 712377 210076763 allow ip from any to any Для старта, потом повторно ipfw list, ipfw show: Применять очень медленно и очень осторожно. Если всё взлетит - потом ещё раза в 2 правила сократим. Правила 50, 51, 52, 53, 65533 вообще не нужны. 15 не имеет смысла излишняя паранойя, удалить 45, 103 65 и 66 заменить на одно 00065 deny tcp from any to any dst-port 25 in via bge1 Следующие правила можно описать двумя: 55, 56, 70, 71, 72, 80, 82, 95, 100, 101, 102, 65530 00055 allow tcp from me to any 00056 allow tcp from any to me Не вижу смысла в skipto 57-58 и deny 59, потом само порубается. Правило 1020 специально продублировано? Не понятно это правило: 65060 nat 1 all from any to any via bge0 Есть же 01020 и 60010 Если 65060 не несёт смысла, то удалить, и правила 01020 и 60010 поднять повыше. К примеру: 00060 nat tablearg all from any to table(33) in via bge0 00061 nat tablearg all from table(34) to any out via bge0 В правилах 10020 и 10025 счетчики по нулям. Подозреваю, что правила работали для one_pass=0, но теперь не нужны и можно удалить 00005 fwd 10.128.10.1 tcp from 172.16.30.0/24 to any 00010 allow all from any to any via lo0 00030 check-state 00040 reject log logamount 100 tcp from any to any tcpflags syn,fin,ack,psh,rst,urg 00041 reject log logamount 100 tcp from any to any tcpflags !syn,!fin,!ack,!psh,!rst,!urg 00042 reject log logamount 100 tcp from any to any not established tcpflags fin 00044 deny tcp from any to any tcpoptions !mss setup 00055 allow tcp from me to any 00056 allow tcp from any to me 00065 deny tcp from any to any dst-port 25 in recv bge1 01020 nat tablearg all from any to table(33) via bge0 in 09970 skipto 10130 all from table(14) to table(3) in recv ng* 09975 skipto 10135 all from table(3) to table(15) out xmit ng* 09980 skipto 10120 all from table(12) to table(2) in recv ng* 09985 skipto 10125 all from table(2) to table(13) out xmit ng* 10000 netgraph tablearg all from table(10) to any in recv ng* 10010 netgraph tablearg all from any to table(11) out xmit ng* 10020 allow all from table(9) to any in recv ng* 10025 allow all from any to table(9) out xmit ng* 10120 netgraph tablearg all from table(12) to any in recv ng* 10125 netgraph tablearg all from any to table(13) out xmit ng* 10130 netgraph tablearg all from table(14) to any in recv ng* 10135 netgraph tablearg all from any to table(15) out xmit ng* 10220 allow all from table(9) to table(2) in recv ng* 10225 allow all from table(2) to table(9) out xmit ng* 10230 allow all from table(9) to table(3) in recv ng* 10235 allow all from table(3) to table(9) out xmit ng* 60010 nat tablearg all from table(34) to any via bge0 65060 nat 1 all from any to any via bge0 65061 allow all from 172.16.20.0/23 to any 65062 allow all from any to 172.16.20.0/23 65532 allow tcp from any to any established 65534 deny all from any to any 65535 allow all from any to any Для чего нужны 09970, 09975, 09980, 09985, 10120-10235? Там тоже по нулям. Если не нужны - удалить, нефиг зря нагружать проц. Відредаговано 2015-02-17 18:15:44 ZуXEL Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-17 18:18:44 Автор Share Опубліковано: 2015-02-17 18:18:44 Подскажите как смотреть pps ?netstat -I em0 1 спс, darnet# netstat -I bge0 1 input (bge0) output packets errs bytes packets errs bytes colls 8943 0 9780850 7157 0 1631046 0 8864 0 9924808 7208 0 1675551 0 8898 0 9900556 7300 0 1765175 0 8893 0 9925607 7259 0 1632690 0 8689 0 9927364 6850 0 1408574 0 8443 0 9822659 6773 0 1077309 0 8664 0 9897899 7050 0 1438687 0 8817 0 9892737 7300 0 1726726 0 8822 0 9950047 7286 0 1776067 0 8930 0 9870696 7510 0 1835218 0 8503 0 9707254 6854 0 1215428 0 8734 0 9927151 7194 0 1425545 0 8804 0 9926770 7191 0 1640257 0 9070 0 9934651 7508 0 1761250 0 8664 0 9824857 7063 0 1522831 0 ipfw list 00005 fwd 10.128.10.1 tcp from 172.16.30.0/24 to any 00010 allow ip from any to any via lo0 00015 deny ip from any to 127.0.0.0/8 00030 check-state 00040 reject log logamount 100 tcp from any to any tcpflags syn,fin,ack,psh,rst,urg 00041 reject log logamount 100 tcp from any to any tcpflags !syn,!fin,!ack,!psh,!rst,!urg 00042 reject log logamount 100 tcp from any to any not established tcpflags fin 00044 deny tcp from any to any tcpoptions !mss setup 00045 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17 00050 deny udp from any 135-139 to any via bge0 00051 deny tcp from any 135-139,445 to any via bge0 00052 deny udp from any to any dst-port 135-139 via bge0 00053 deny tcp from any to any dst-port 135-139,445 via bge0 00055 allow tcp from 10.128.10.0/23 to me dst-port 80 in recv bge1 // localka k nashemu www 00056 allow udp from 10.128.10.0/23 to me dst-port 53 in recv bge1 // localka v nash DNS 00057 skipto 65 ip from 172.16.20.0/23 to any in recv bge1 // PPPoE idet dalshe 00058 skipto 65 ip from 172.16.30.0/24 to any in recv bge1 // Dolgniki 00059 deny ip from any to any in recv bge1 // ostalnoe rezhem 00065 deny tcp from 10.128.10.0/23 to any dst-port 25 00066 deny tcp from 172.16.20.0/23 to any dst-port 25 00070 allow tcp from me to any keep-state 00071 allow udp from me to any keep-state 00072 allow icmp from me to any out icmptypes 0,3,8 keep-state 00080 allow tcp from any to me dst-port 80,9443 keep-state 00082 allow tcp from any to me dst-port 3301,3503 keep-state 00095 allow udp from any to me dst-port 53 keep-state 00100 allow icmp from any to me in via bge0 icmptypes 0,3,8 keep-state 00101 allow icmp from any to me in via re0 icmptypes 0,3,8 keep-state 00102 allow icmp from any to me in via bge1 icmptypes 0,3,8 keep-state 00103 deny log logamount 100 icmp from any to me in via bge0 icmptypes 5,9,13,14,16,17 01020 nat tablearg ip from any to table(33) via bge0 in 01020 nat tablearg ip from any to table(33) via bge0 in 09970 skipto 10130 ip from table(14) to table(3) in recv ng* 09975 skipto 10135 ip from table(3) to table(15) out xmit ng* 09980 skipto 10120 ip from table(12) to table(2) in recv ng* 09985 skipto 10125 ip from table(2) to table(13) out xmit ng* 10000 netgraph tablearg ip from table(10) to any in recv ng* 10010 netgraph tablearg ip from any to table(11) out xmit ng* 10020 allow ip from table(9) to any in recv ng* 10025 allow ip from any to table(9) out xmit ng* 10120 netgraph tablearg ip from table(12) to any in recv ng* 10125 netgraph tablearg ip from any to table(13) out xmit ng* 10130 netgraph tablearg ip from table(14) to any in recv ng* 10135 netgraph tablearg ip from any to table(15) out xmit ng* 10220 allow ip from table(9) to table(2) in recv ng* 10225 allow ip from table(2) to table(9) out xmit ng* 10230 allow ip from table(9) to table(3) in recv ng* 10235 allow ip from table(3) to table(9) out xmit ng* 60010 nat tablearg ip from table(34) to any via bge0 65060 nat 1 ip from any to any via bge0 65061 allow ip from 172.16.20.0/23 to any 65062 allow ip from any to 172.16.20.0/23 65530 allow ip from me to any 65532 allow tcp from any to any established 65533 deny ip from any to 255.255.255.255 65534 deny log logamount 100 ip from any to any 65535 allow ip from any to any ipfw show 00005 2653 173352 fwd 10.128.10.1 tcp from 172.16.30.0/24 to any 00010 7974 1383338 allow ip from any to any via lo0 00015 0 0 deny ip from any to 127.0.0.0/8 00030 0 0 check-state 00040 0 0 reject log logamount 100 tcp from any to any tcpflags syn,fin,ack,psh,rst,urg 00041 2 104 reject log logamount 100 tcp from any to any tcpflags !syn,!fin,!ack,!psh,!rst,!urg 00042 0 0 reject log logamount 100 tcp from any to any not established tcpflags fin 00044 389 17478 deny tcp from any to any tcpoptions !mss setup 00045 71 3976 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17 00050 0 0 deny udp from any 135-139 to any via bge0 00051 0 0 deny tcp from any 135-139,445 to any via bge0 00052 0 0 deny udp from any to any dst-port 135-139 via bge0 00053 0 0 deny tcp from any to any dst-port 135-139,445 via bge0 00055 0 0 allow tcp from 10.128.10.0/23 to me dst-port 80 in recv bge1 // localka k nashemu www 00056 60164 3759885 allow udp from 10.128.10.0/23 to me dst-port 53 in recv bge1 // localka v nash DNS 00057 0 0 skipto 65 ip from 172.16.20.0/23 to any in recv bge1 // PPPoE idet dalshe 00058 0 0 skipto 65 ip from 172.16.30.0/24 to any in recv bge1 // Dolgniki 00059 24497 2089175 deny ip from any to any in recv bge1 // ostalnoe rezhem 00065 0 0 deny tcp from 10.128.10.0/23 to any dst-port 25 00066 0 0 deny tcp from 172.16.20.0/23 to any dst-port 25 00070 3314 965202 allow tcp from me to any keep-state 00071 140115 13946236 allow udp from me to any keep-state 00072 3122 635056 allow icmp from me to any out icmptypes 0,3,8 keep-state 00080 3580 2111977 allow tcp from any to me dst-port 80,9443 keep-state 00082 1893 629092 allow tcp from any to me dst-port 3301,3503 keep-state 00095 32552 2897563 allow udp from any to me dst-port 53 keep-state 00100 104394 10079407 allow icmp from any to me in via bge0 icmptypes 0,3,8 keep-state 00101 0 0 allow icmp from any to me in via re0 icmptypes 0,3,8 keep-state 00102 0 0 allow icmp from any to me in via bge1 icmptypes 0,3,8 keep-state 00103 0 0 deny log logamount 100 icmp from any to me in via bge0 icmptypes 5,9,13,14,16,17 01020 20421687 22851534812 nat tablearg ip from any to table(33) via bge0 in 01020 0 0 nat tablearg ip from any to table(33) via bge0 in 09970 0 0 skipto 10130 ip from table(14) to table(3) in recv ng* 09975 0 0 skipto 10135 ip from table(3) to table(15) out xmit ng* 09980 0 0 skipto 10120 ip from table(12) to table(2) in recv ng* 09985 0 0 skipto 10125 ip from table(2) to table(13) out xmit ng* 10000 3276249 625842465 netgraph tablearg ip from table(10) to any in recv ng* 10010 4005565 4755157662 netgraph tablearg ip from any to table(11) out xmit ng* 10020 0 0 allow ip from table(9) to any in recv ng* 10025 0 0 allow ip from any to table(9) out xmit ng* 10120 0 0 netgraph tablearg ip from table(12) to any in recv ng* 10125 0 0 netgraph tablearg ip from any to table(13) out xmit ng* 10130 0 0 netgraph tablearg ip from table(14) to any in recv ng* 10135 0 0 netgraph tablearg ip from any to table(15) out xmit ng* 10220 0 0 allow ip from table(9) to table(2) in recv ng* 10225 0 0 allow ip from table(2) to table(9) out xmit ng* 10230 0 0 allow ip from table(9) to table(3) in recv ng* 10235 0 0 allow ip from table(3) to table(9) out xmit ng* 60010 3262855 617272743 nat tablearg ip from table(34) to any via bge0 65060 1459035 1109587305 nat 1 ip from any to any via bge0 65061 597213 125210629 allow ip from 172.16.20.0/23 to any 65062 794960 977457793 allow ip from any to 172.16.20.0/23 65530 0 0 allow ip from me to any 65532 1111 87805 allow tcp from any to any established 65533 3 984 deny ip from any to 255.255.255.255 65534 225 11594 deny log logamount 100 ip from any to any 65535 712377 210076763 allow ip from any to any Для старта, потом повторно ipfw list, ipfw show: Применять очень медленно и очень осторожно. Если всё взлетит - потом ещё раза в 2 правила сократим. Правила 50, 51, 52, 53, 65533 вообще не нужны. 15 не имеет смысла излишняя паранойя, удалить 45, 103 65 и 66 заменить на одно 00065 deny tcp from any to any dst-port 25 in via bge1 Следующие правила можно описать двумя: 55, 56, 70, 71, 72, 80, 82, 95, 100, 101, 102, 65530 00055 allow tcp from me to any 00056 allow tcp from any to me Не вижу смысла в skipto 57-58 и deny 59, потом само порубается. Правило 1020 специально продублировано? Не понятно это правило: 65060 nat 1 all from any to any via bge0 Есть же 01020 и 60010 Если 65060 не несёт смысла, то удалить, и правила 01020 и 60010 поднять повыше. К примеру: 00060 nat tablearg all from any to table(33) in via bge0 00061 nat tablearg all from table(34) to any out via bge0 В правилах 10020 и 10025 счетчики по нулям. Подозреваю, что правила работали для one_pass=0, но теперь не нужны и можно удалить 00005 fwd 10.128.10.1 tcp from 172.16.30.0/24 to any 00010 allow all from any to any via lo0 00030 check-state 00040 reject log logamount 100 tcp from any to any tcpflags syn,fin,ack,psh,rst,urg 00041 reject log logamount 100 tcp from any to any tcpflags !syn,!fin,!ack,!psh,!rst,!urg 00042 reject log logamount 100 tcp from any to any not established tcpflags fin 00044 deny tcp from any to any tcpoptions !mss setup 00055 allow tcp from me to any 00056 allow tcp from any to me 00065 deny tcp from any to any dst-port 25 in recv bge1 01020 nat tablearg all from any to table(33) via bge0 in 09970 skipto 10130 all from table(14) to table(3) in recv ng* 09975 skipto 10135 all from table(3) to table(15) out xmit ng* 09980 skipto 10120 all from table(12) to table(2) in recv ng* 09985 skipto 10125 all from table(2) to table(13) out xmit ng* 10000 netgraph tablearg all from table(10) to any in recv ng* 10010 netgraph tablearg all from any to table(11) out xmit ng* 10020 allow all from table(9) to any in recv ng* 10025 allow all from any to table(9) out xmit ng* 10120 netgraph tablearg all from table(12) to any in recv ng* 10125 netgraph tablearg all from any to table(13) out xmit ng* 10130 netgraph tablearg all from table(14) to any in recv ng* 10135 netgraph tablearg all from any to table(15) out xmit ng* 10220 allow all from table(9) to table(2) in recv ng* 10225 allow all from table(2) to table(9) out xmit ng* 10230 allow all from table(9) to table(3) in recv ng* 10235 allow all from table(3) to table(9) out xmit ng* 60010 nat tablearg all from table(34) to any via bge0 65060 nat 1 all from any to any via bge0 65061 allow all from 172.16.20.0/23 to any 65062 allow all from any to 172.16.20.0/23 65532 allow tcp from any to any established 65534 deny all from any to any 65535 allow all from any to any Для чего нужны 09970, 09975, 09980, 09985, 10120-10235? Там тоже по нулям. Если не нужны - удалить, нефиг зря нагружать проц. спс, щас удалю Ссылка на сообщение Поделиться на других сайтах
l1ght 377 Опубліковано: 2015-02-17 18:22:27 Share Опубліковано: 2015-02-17 18:22:27 ну навантаження в 17 кілопакетів - це ж мізер. доречі в мене кактус знімає по снмп ппс - показує інші значення аніж netstat, кому вірити? Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-17 18:24:03 Автор Share Опубліковано: 2015-02-17 18:24:03 (відредаговано) опять скачек, но уже : 89.36% irq19: bge0swi1: net - по нулям если включаю пoллинг на bge0 - swi1 сразу растет Відредаговано 2015-02-17 18:27:52 kvirtu Ссылка на сообщение Поделиться на других сайтах
l1ght 377 Опубліковано: 2015-02-17 18:28:34 Share Опубліковано: 2015-02-17 18:28:34 от коли скаче - профайлером його, щоб він одурів, від того що з ним роблять - та почав нормально працювати а в загалі не розумію, що за процес swi1: net, то може ng_car? Чи без шейперу воно світилося? Ссылка на сообщение Поделиться на других сайтах
Al G 0 Опубліковано: 2015-02-17 18:34:49 Share Опубліковано: 2015-02-17 18:34:49 (відредаговано) что там с правилами? на 55, 56 споткнуться может. Відредаговано 2015-02-17 18:38:11 ZуXEL Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-17 18:35:14 Автор Share Опубліковано: 2015-02-17 18:35:14 от коли скаче - профайлером його, щоб він одурів, від того що з ним роблять - та почав нормально працювати а в загалі не розумію, що за процес swi1: net, то може ng_car? Чи без шейперу воно світилося? ну пока так , снимаю шейпера на время, инет хоть медленный , но есть. А с пиками нагрузки - капец. swi1: net - сетевая подсистема Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-17 18:40:02 Автор Share Опубліковано: 2015-02-17 18:40:02 что там с правилами? на 55, 56 споткнуться может. не успел применить ) Ссылка на сообщение Поделиться на других сайтах
ttttt 195 Опубліковано: 2015-02-17 18:55:35 Share Опубліковано: 2015-02-17 18:55:35 если включаю пoллинг на bge0 - swi1 сразу растетА если kern.polling.idle_poll выключить? Вообще почитайте ман по поллингу, там много можно тюнить. HZ стоит 1000? Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-17 19:02:41 Автор Share Опубліковано: 2015-02-17 19:02:41 если включаю пoллинг на bge0 - swi1 сразу растетА если kern.polling.idle_poll выключить? Вообще почитайте ман по поллингу, там много можно тюнить. HZ стоит 1000? kern.polling.idle_poll: 0 , в ядре есть HZ стоит 1000? Ссылка на сообщение Поделиться на других сайтах
Al G 0 Опубліковано: 2015-02-17 19:20:50 Share Опубліковано: 2015-02-17 19:20:50 Забейте на поллинг. Перестаньте пинать труп. Проблема в данном случае - ipfw, который напичкан динамическими правилами и лишними проверками. Ведь процессор это всё обсчитывает. Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2015-02-17 19:31:14 Автор Share Опубліковано: 2015-02-17 19:31:14 Забейте на поллинг. Перестаньте пинать труп. Проблема в данном случае - ipfw, который напичкан динамическими правилами и лишними проверками. Ведь процессор это всё обсчитывает. про поллинг я понял, подскажите, плиз, правила, которые нафиг нужно снести ? Ссылка на сообщение Поделиться на других сайтах
kha0s 112 Опубліковано: 2015-02-17 20:00:20 Share Опубліковано: 2015-02-17 20:00:20 (відредаговано) подскажите, плиз, правила, которые нафиг нужно снести ? Все в которых встречается слово state и предпоследнее (глобальный deny). Добавить те, что я ранее писал. Они хорошо отфильтруют мусор и не нагрузят зря систему. Как то я пропустил мимо о, что это же НАТ для такой тучи клиентов и весь он через состояния к тому-же крутится. Відредаговано 2015-02-17 20:01:20 kha0s Ссылка на сообщение Поделиться на других сайтах
ttttt 195 Опубліковано: 2015-02-17 20:18:58 Share Опубліковано: 2015-02-17 20:18:58 Короче да, большие шансы, что проблема в динамических правилах. Тут тогда и новое железо не поможет, надо переделывать. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас