FreeBSD 7.2 - Высокий load averages

kvirtu · 2015-02-17 17:11:00

В 17.02.2015 в 17:00, L1ght сказав:

В 17.02.2015 в 16:37, kvirtu сказав:

В 17.02.2015 в 16:26, L1ght сказав:

Цитата

pmcstat -S instructions -O /tmp/sample.out &
sleep 30 && killall pmcstat
pmcstat -R /tmp/sample.out -g && gprof -l -K INSTR_RETIRED_ANY/kernel |head -n 60 | tail -n 25

тільки для початку kldload pmc

здається так повинно бути

kldload: can't load pmc: No such file or directory

так вибачаюсь, hwpmc, але гугл могли і ви відкрити

kldload: can't load hwpmc: No such file or directory

kvirtu · 2015-02-17 17:13:54

В 17.02.2015 в 17:05, ZуXEL сказав:

Что говорят:

ipfw list

ipfw show

sysctl net.inet.ip.fw.one_pass

?

ipfw list

Відновити прихований контент

ipfw show

Відновити прихований контент

net.inet.ip.fw.one_pass: 1

kha0s · 2015-02-17 17:17:02

В 17.02.2015 в 17:11, kvirtu сказав:
kldload: can't load hwpmc: No such file or directory

cd /sys/modules/hwpmc && make install

kvirtu · 2015-02-17 17:22:28

В 17.02.2015 в 17:17, kha0s сказав:

В 17.02.2015 в 17:11, kvirtu сказав:
kldload: can't load hwpmc: No such file or directory

cd /sys/modules/hwpmc && make install

спс,

kha0s · 2015-02-17 17:25:17

В 17.02.2015 в 17:13, kvirtu сказав:
net.inet.ip.fw.one_pass: 1

если net.inet.ip.fw.one_pass=1, то просмотр правил ipfw прекращается сразу после подпадание под queue или pipe правило. Если 0, то продолжается обработка далее идущих правил.

Т.е. у вас весь файрвол после шейпера коту под хвост

А хотя не факт - у вас же ng_car, не гуглил следует ли он этой политике.

Відредаговано 2015-02-17 17:27:36 kha0s

Ромка · 2015-02-17 17:30:35

В 17.02.2015 в 17:09, kvirtu сказав:

В 17.02.2015 в 17:00, L1ght сказав:

В 17.02.2015 в 16:37, kvirtu сказав:

В 17.02.2015 в 16:26, L1ght сказав:

Цитата

pmcstat -S instructions -O /tmp/sample.out &
sleep 30 && killall pmcstat
pmcstat -R /tmp/sample.out -g && gprof -l -K INSTR_RETIRED_ANY/kernel |head -n 60 | tail -n 25

тільки для початку kldload pmc

здається так повинно бути

kldload: can't load pmc: No such file or directory

так вибачаюсь, hwpmc, але гугл могли і ви відкрити

та я одним глазом на форум, вторым на консоли сервака.

В 17.02.2015 в 16:51, Ромка сказав:

В 17.02.2015 в 16:46, kvirtu сказав:

В 17.02.2015 в 16:42, Ромка сказав:

Оффтоп.

Собирался как-то было дело freebsd по изучать, для общего развития, всё руки не доходили. Вы меня убедили что оно того не стОит.

Спасибо ребята за топик!

пришло железо, завтра утром буду менять - отпишусь

Ждём...

cats_05.gif

а чего сразу драма ?

Та не обращайте внимание, то первое что нашел с попкорном))) Просто интересно чем оно всё закончится. Если надоест скажете, помогу с абиллсом на линуксе.

kvirtu · 2015-02-17 17:30:55

hwpmc.ko - есть в /boot/kernel , а грузится не хочет

kvirtu · 2015-02-17 17:32:08

В 17.02.2015 в 17:25, kha0s сказав:

В 17.02.2015 в 17:13, kvirtu сказав:
net.inet.ip.fw.one_pass: 1

если net.inet.ip.fw.one_pass=1, то просмотр правил ipfw прекращается сразу после подпадание под queue или pipe правило. Если 0, то продолжается обработка далее идущих правил.

Т.е. у вас весь файрвол после шейпера коту под хвост

А хотя не факт - у вас же ng_car, не гуглил следует ли он этой политике.

правило 65534 - работает

kvirtu · 2015-02-17 17:33:14

В 17.02.2015 в 17:30, Ромка сказав:

В 17.02.2015 в 17:09, kvirtu сказав:

В 17.02.2015 в 17:00, L1ght сказав:

В 17.02.2015 в 16:37, kvirtu сказав:

В 17.02.2015 в 16:26, L1ght сказав:

Цитата

pmcstat -S instructions -O /tmp/sample.out &
sleep 30 && killall pmcstat
pmcstat -R /tmp/sample.out -g && gprof -l -K INSTR_RETIRED_ANY/kernel |head -n 60 | tail -n 25

тільки для початку kldload pmc

здається так повинно бути

kldload: can't load pmc: No such file or directory

так вибачаюсь, hwpmc, але гугл могли і ви відкрити

та я одним глазом на форум, вторым на консоли сервака.

В 17.02.2015 в 16:51, Ромка сказав:

В 17.02.2015 в 16:46, kvirtu сказав:

В 17.02.2015 в 16:42, Ромка сказав:

Оффтоп.

Собирался как-то было дело freebsd по изучать, для общего развития, всё руки не доходили. Вы меня убедили что оно того не стОит.

Спасибо ребята за топик!

пришло железо, завтра утром буду менять - отпишусь

Ждём...

cats_05.gif

а чего сразу драма ?

Та не обращайте внимание, то первое что нашел с попкорном))) Просто интересно чем оно всё закончится. Если надоест скажете, помогу с абиллсом на линуксе.

, победами за нами

kvirtu · 2015-02-17 17:35:51

вот сейчас: онлайн - 130 , траффик под 80 Мбит - все норм.

Подскажите как смотреть pps ?

ttttt · 2015-02-17 17:44:24

В 17.02.2015 в 17:35, kvirtu сказав:
Подскажите как смотреть pps ?

netstat -I em0 1

Al G · 2015-02-17 18:14:47

В 17.02.2015 в 17:13, kvirtu сказав:

ipfw list

Відновити прихований контент

00005 fwd 10.128.10.1 tcp from 172.16.30.0/24 to any

00010 allow ip from any to any via lo0

00015 deny ip from any to 127.0.0.0/8

00030 check-state

00040 reject log logamount 100 tcp from any to any tcpflags syn,fin,ack,psh,rst,urg

00041 reject log logamount 100 tcp from any to any tcpflags !syn,!fin,!ack,!psh,!rst,!urg

00042 reject log logamount 100 tcp from any to any not established tcpflags fin

00044 deny tcp from any to any tcpoptions !mss setup

00045 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17

00050 deny udp from any 135-139 to any via bge0

00051 deny tcp from any 135-139,445 to any via bge0

00052 deny udp from any to any dst-port 135-139 via bge0

00053 deny tcp from any to any dst-port 135-139,445 via bge0

00055 allow tcp from 10.128.10.0/23 to me dst-port 80 in recv bge1 // localka k nashemu www

00056 allow udp from 10.128.10.0/23 to me dst-port 53 in recv bge1 // localka v nash DNS

00057 skipto 65 ip from 172.16.20.0/23 to any in recv bge1 // PPPoE idet dalshe

00058 skipto 65 ip from 172.16.30.0/24 to any in recv bge1 // Dolgniki

00059 deny ip from any to any in recv bge1 // ostalnoe rezhem

00065 deny tcp from 10.128.10.0/23 to any dst-port 25

00066 deny tcp from 172.16.20.0/23 to any dst-port 25

00070 allow tcp from me to any keep-state

00071 allow udp from me to any keep-state

00072 allow icmp from me to any out icmptypes 0,3,8 keep-state

00080 allow tcp from any to me dst-port 80,9443 keep-state

00082 allow tcp from any to me dst-port 3301,3503 keep-state

00095 allow udp from any to me dst-port 53 keep-state

00100 allow icmp from any to me in via bge0 icmptypes 0,3,8 keep-state

00101 allow icmp from any to me in via re0 icmptypes 0,3,8 keep-state

00102 allow icmp from any to me in via bge1 icmptypes 0,3,8 keep-state

00103 deny log logamount 100 icmp from any to me in via bge0 icmptypes 5,9,13,14,16,17

01020 nat tablearg ip from any to table(33) via bge0 in

01020 nat tablearg ip from any to table(33) via bge0 in

09970 skipto 10130 ip from table(14) to table(3) in recv ng*

09975 skipto 10135 ip from table(3) to table(15) out xmit ng*

09980 skipto 10120 ip from table(12) to table(2) in recv ng*

09985 skipto 10125 ip from table(2) to table(13) out xmit ng*

10000 netgraph tablearg ip from table(10) to any in recv ng*

10010 netgraph tablearg ip from any to table(11) out xmit ng*

10020 allow ip from table(9) to any in recv ng*

10025 allow ip from any to table(9) out xmit ng*

10120 netgraph tablearg ip from table(12) to any in recv ng*

10125 netgraph tablearg ip from any to table(13) out xmit ng*

10130 netgraph tablearg ip from table(14) to any in recv ng*

10135 netgraph tablearg ip from any to table(15) out xmit ng*

10220 allow ip from table(9) to table(2) in recv ng*

10225 allow ip from table(2) to table(9) out xmit ng*

10230 allow ip from table(9) to table(3) in recv ng*

10235 allow ip from table(3) to table(9) out xmit ng*

60010 nat tablearg ip from table(34) to any via bge0

65060 nat 1 ip from any to any via bge0

65061 allow ip from 172.16.20.0/23 to any

65062 allow ip from any to 172.16.20.0/23

65530 allow ip from me to any

65532 allow tcp from any to any established

65533 deny ip from any to 255.255.255.255

65534 deny log logamount 100 ip from any to any

65535 allow ip from any to any

ipfw show

Відновити прихований контент

00005 2653 173352 fwd 10.128.10.1 tcp from 172.16.30.0/24 to any

00010 7974 1383338 allow ip from any to any via lo0

00015 0 0 deny ip from any to 127.0.0.0/8

00030 0 0 check-state

00040 0 0 reject log logamount 100 tcp from any to any tcpflags syn,fin,ack,psh,rst,urg

00041 2 104 reject log logamount 100 tcp from any to any tcpflags !syn,!fin,!ack,!psh,!rst,!urg

00042 0 0 reject log logamount 100 tcp from any to any not established tcpflags fin

00044 389 17478 deny tcp from any to any tcpoptions !mss setup

00045 71 3976 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17

00050 0 0 deny udp from any 135-139 to any via bge0

00051 0 0 deny tcp from any 135-139,445 to any via bge0

00052 0 0 deny udp from any to any dst-port 135-139 via bge0

00053 0 0 deny tcp from any to any dst-port 135-139,445 via bge0

00055 0 0 allow tcp from 10.128.10.0/23 to me dst-port 80 in recv bge1 // localka k nashemu www

00056 60164 3759885 allow udp from 10.128.10.0/23 to me dst-port 53 in recv bge1 // localka v nash DNS

00057 0 0 skipto 65 ip from 172.16.20.0/23 to any in recv bge1 // PPPoE idet dalshe

00058 0 0 skipto 65 ip from 172.16.30.0/24 to any in recv bge1 // Dolgniki

00059 24497 2089175 deny ip from any to any in recv bge1 // ostalnoe rezhem

00065 0 0 deny tcp from 10.128.10.0/23 to any dst-port 25

00066 0 0 deny tcp from 172.16.20.0/23 to any dst-port 25

00070 3314 965202 allow tcp from me to any keep-state

00071 140115 13946236 allow udp from me to any keep-state

00072 3122 635056 allow icmp from me to any out icmptypes 0,3,8 keep-state

00080 3580 2111977 allow tcp from any to me dst-port 80,9443 keep-state

00082 1893 629092 allow tcp from any to me dst-port 3301,3503 keep-state

00095 32552 2897563 allow udp from any to me dst-port 53 keep-state

00100 104394 10079407 allow icmp from any to me in via bge0 icmptypes 0,3,8 keep-state

00101 0 0 allow icmp from any to me in via re0 icmptypes 0,3,8 keep-state

00102 0 0 allow icmp from any to me in via bge1 icmptypes 0,3,8 keep-state

00103 0 0 deny log logamount 100 icmp from any to me in via bge0 icmptypes 5,9,13,14,16,17

01020 20421687 22851534812 nat tablearg ip from any to table(33) via bge0 in

01020 0 0 nat tablearg ip from any to table(33) via bge0 in

09970 0 0 skipto 10130 ip from table(14) to table(3) in recv ng*

09975 0 0 skipto 10135 ip from table(3) to table(15) out xmit ng*

09980 0 0 skipto 10120 ip from table(12) to table(2) in recv ng*

09985 0 0 skipto 10125 ip from table(2) to table(13) out xmit ng*

10000 3276249 625842465 netgraph tablearg ip from table(10) to any in recv ng*

10010 4005565 4755157662 netgraph tablearg ip from any to table(11) out xmit ng*

10020 0 0 allow ip from table(9) to any in recv ng*

10025 0 0 allow ip from any to table(9) out xmit ng*

10120 0 0 netgraph tablearg ip from table(12) to any in recv ng*

10125 0 0 netgraph tablearg ip from any to table(13) out xmit ng*

10130 0 0 netgraph tablearg ip from table(14) to any in recv ng*

10135 0 0 netgraph tablearg ip from any to table(15) out xmit ng*

10220 0 0 allow ip from table(9) to table(2) in recv ng*

10225 0 0 allow ip from table(2) to table(9) out xmit ng*

10230 0 0 allow ip from table(9) to table(3) in recv ng*

10235 0 0 allow ip from table(3) to table(9) out xmit ng*

60010 3262855 617272743 nat tablearg ip from table(34) to any via bge0

65060 1459035 1109587305 nat 1 ip from any to any via bge0

65061 597213 125210629 allow ip from 172.16.20.0/23 to any

65062 794960 977457793 allow ip from any to 172.16.20.0/23

65530 0 0 allow ip from me to any

65532 1111 87805 allow tcp from any to any established

65533 3 984 deny ip from any to 255.255.255.255

65534 225 11594 deny log logamount 100 ip from any to any

65535 712377 210076763 allow ip from any to any

Для старта, потом повторно ipfw list, ipfw show:

Відновити прихований контент

Для чего нужны 09970, 09975, 09980, 09985, 10120-10235? Там тоже по нулям. Если не нужны - удалить, нефиг зря нагружать проц.

Відредаговано 2015-02-17 18:15:44 ZуXEL

kvirtu · 2015-02-17 18:18:44

В 17.02.2015 в 17:44, ttttt сказав:

В 17.02.2015 в 17:35, kvirtu сказав:
Подскажите как смотреть pps ?
netstat -I em0 1

спс,

darnet# netstat -I bge0 1

input (bge0) output

packets errs bytes packets errs bytes colls

8943 0 9780850 7157 0 1631046 0

8864 0 9924808 7208 0 1675551 0

8898 0 9900556 7300 0 1765175 0

8893 0 9925607 7259 0 1632690 0

8689 0 9927364 6850 0 1408574 0

8443 0 9822659 6773 0 1077309 0

8664 0 9897899 7050 0 1438687 0

8817 0 9892737 7300 0 1726726 0

8822 0 9950047 7286 0 1776067 0

8930 0 9870696 7510 0 1835218 0

8503 0 9707254 6854 0 1215428 0

8734 0 9927151 7194 0 1425545 0

8804 0 9926770 7191 0 1640257 0

9070 0 9934651 7508 0 1761250 0

8664 0 9824857 7063 0 1522831 0

В 17.02.2015 в 18:14, ZуXEL сказав:

В 17.02.2015 в 17:13, kvirtu сказав:

ipfw list

Відновити прихований контент

00005 fwd 10.128.10.1 tcp from 172.16.30.0/24 to any

00010 allow ip from any to any via lo0

00015 deny ip from any to 127.0.0.0/8

00030 check-state

00040 reject log logamount 100 tcp from any to any tcpflags syn,fin,ack,psh,rst,urg

00041 reject log logamount 100 tcp from any to any tcpflags !syn,!fin,!ack,!psh,!rst,!urg

00042 reject log logamount 100 tcp from any to any not established tcpflags fin

00044 deny tcp from any to any tcpoptions !mss setup

00045 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17

00050 deny udp from any 135-139 to any via bge0

00051 deny tcp from any 135-139,445 to any via bge0

00052 deny udp from any to any dst-port 135-139 via bge0

00053 deny tcp from any to any dst-port 135-139,445 via bge0

00055 allow tcp from 10.128.10.0/23 to me dst-port 80 in recv bge1 // localka k nashemu www

00056 allow udp from 10.128.10.0/23 to me dst-port 53 in recv bge1 // localka v nash DNS

00057 skipto 65 ip from 172.16.20.0/23 to any in recv bge1 // PPPoE idet dalshe

00058 skipto 65 ip from 172.16.30.0/24 to any in recv bge1 // Dolgniki

00059 deny ip from any to any in recv bge1 // ostalnoe rezhem

00065 deny tcp from 10.128.10.0/23 to any dst-port 25

00066 deny tcp from 172.16.20.0/23 to any dst-port 25

00070 allow tcp from me to any keep-state

00071 allow udp from me to any keep-state

00072 allow icmp from me to any out icmptypes 0,3,8 keep-state

00080 allow tcp from any to me dst-port 80,9443 keep-state

00082 allow tcp from any to me dst-port 3301,3503 keep-state

00095 allow udp from any to me dst-port 53 keep-state

00100 allow icmp from any to me in via bge0 icmptypes 0,3,8 keep-state

00101 allow icmp from any to me in via re0 icmptypes 0,3,8 keep-state

00102 allow icmp from any to me in via bge1 icmptypes 0,3,8 keep-state

00103 deny log logamount 100 icmp from any to me in via bge0 icmptypes 5,9,13,14,16,17

01020 nat tablearg ip from any to table(33) via bge0 in

01020 nat tablearg ip from any to table(33) via bge0 in

09970 skipto 10130 ip from table(14) to table(3) in recv ng*

09975 skipto 10135 ip from table(3) to table(15) out xmit ng*

09980 skipto 10120 ip from table(12) to table(2) in recv ng*

09985 skipto 10125 ip from table(2) to table(13) out xmit ng*

10000 netgraph tablearg ip from table(10) to any in recv ng*

10010 netgraph tablearg ip from any to table(11) out xmit ng*

10020 allow ip from table(9) to any in recv ng*

10025 allow ip from any to table(9) out xmit ng*

10120 netgraph tablearg ip from table(12) to any in recv ng*

10125 netgraph tablearg ip from any to table(13) out xmit ng*

10130 netgraph tablearg ip from table(14) to any in recv ng*

10135 netgraph tablearg ip from any to table(15) out xmit ng*

10220 allow ip from table(9) to table(2) in recv ng*

10225 allow ip from table(2) to table(9) out xmit ng*

10230 allow ip from table(9) to table(3) in recv ng*

10235 allow ip from table(3) to table(9) out xmit ng*

60010 nat tablearg ip from table(34) to any via bge0

65060 nat 1 ip from any to any via bge0

65061 allow ip from 172.16.20.0/23 to any

65062 allow ip from any to 172.16.20.0/23

65530 allow ip from me to any

65532 allow tcp from any to any established

65533 deny ip from any to 255.255.255.255

65534 deny log logamount 100 ip from any to any

65535 allow ip from any to any

ipfw show

Відновити прихований контент

00005 2653 173352 fwd 10.128.10.1 tcp from 172.16.30.0/24 to any

00010 7974 1383338 allow ip from any to any via lo0

00015 0 0 deny ip from any to 127.0.0.0/8

00030 0 0 check-state

00040 0 0 reject log logamount 100 tcp from any to any tcpflags syn,fin,ack,psh,rst,urg

00041 2 104 reject log logamount 100 tcp from any to any tcpflags !syn,!fin,!ack,!psh,!rst,!urg

00042 0 0 reject log logamount 100 tcp from any to any not established tcpflags fin

00044 389 17478 deny tcp from any to any tcpoptions !mss setup

00045 71 3976 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17

00050 0 0 deny udp from any 135-139 to any via bge0

00051 0 0 deny tcp from any 135-139,445 to any via bge0

00052 0 0 deny udp from any to any dst-port 135-139 via bge0

00053 0 0 deny tcp from any to any dst-port 135-139,445 via bge0

00055 0 0 allow tcp from 10.128.10.0/23 to me dst-port 80 in recv bge1 // localka k nashemu www

00056 60164 3759885 allow udp from 10.128.10.0/23 to me dst-port 53 in recv bge1 // localka v nash DNS

00057 0 0 skipto 65 ip from 172.16.20.0/23 to any in recv bge1 // PPPoE idet dalshe

00058 0 0 skipto 65 ip from 172.16.30.0/24 to any in recv bge1 // Dolgniki

00059 24497 2089175 deny ip from any to any in recv bge1 // ostalnoe rezhem

00065 0 0 deny tcp from 10.128.10.0/23 to any dst-port 25

00066 0 0 deny tcp from 172.16.20.0/23 to any dst-port 25

00070 3314 965202 allow tcp from me to any keep-state

00071 140115 13946236 allow udp from me to any keep-state

00072 3122 635056 allow icmp from me to any out icmptypes 0,3,8 keep-state

00080 3580 2111977 allow tcp from any to me dst-port 80,9443 keep-state

00082 1893 629092 allow tcp from any to me dst-port 3301,3503 keep-state

00095 32552 2897563 allow udp from any to me dst-port 53 keep-state

00100 104394 10079407 allow icmp from any to me in via bge0 icmptypes 0,3,8 keep-state

00101 0 0 allow icmp from any to me in via re0 icmptypes 0,3,8 keep-state

00102 0 0 allow icmp from any to me in via bge1 icmptypes 0,3,8 keep-state

00103 0 0 deny log logamount 100 icmp from any to me in via bge0 icmptypes 5,9,13,14,16,17

01020 20421687 22851534812 nat tablearg ip from any to table(33) via bge0 in

01020 0 0 nat tablearg ip from any to table(33) via bge0 in

09970 0 0 skipto 10130 ip from table(14) to table(3) in recv ng*

09975 0 0 skipto 10135 ip from table(3) to table(15) out xmit ng*

09980 0 0 skipto 10120 ip from table(12) to table(2) in recv ng*

09985 0 0 skipto 10125 ip from table(2) to table(13) out xmit ng*

10000 3276249 625842465 netgraph tablearg ip from table(10) to any in recv ng*

10010 4005565 4755157662 netgraph tablearg ip from any to table(11) out xmit ng*

10020 0 0 allow ip from table(9) to any in recv ng*

10025 0 0 allow ip from any to table(9) out xmit ng*

10120 0 0 netgraph tablearg ip from table(12) to any in recv ng*

10125 0 0 netgraph tablearg ip from any to table(13) out xmit ng*

10130 0 0 netgraph tablearg ip from table(14) to any in recv ng*

10135 0 0 netgraph tablearg ip from any to table(15) out xmit ng*

10220 0 0 allow ip from table(9) to table(2) in recv ng*

10225 0 0 allow ip from table(2) to table(9) out xmit ng*

10230 0 0 allow ip from table(9) to table(3) in recv ng*

10235 0 0 allow ip from table(3) to table(9) out xmit ng*

60010 3262855 617272743 nat tablearg ip from table(34) to any via bge0

65060 1459035 1109587305 nat 1 ip from any to any via bge0

65061 597213 125210629 allow ip from 172.16.20.0/23 to any

65062 794960 977457793 allow ip from any to 172.16.20.0/23

65530 0 0 allow ip from me to any

65532 1111 87805 allow tcp from any to any established

65533 3 984 deny ip from any to 255.255.255.255

65534 225 11594 deny log logamount 100 ip from any to any

65535 712377 210076763 allow ip from any to any

Для старта, потом повторно ipfw list, ipfw show:

Відновити прихований контент

Применять очень медленно и очень осторожно.

Если всё взлетит - потом ещё раза в 2 правила сократим.

Правила 50, 51, 52, 53, 65533 вообще не нужны.

15 не имеет смысла

излишняя паранойя, удалить 45, 103

65 и 66 заменить на одно 00065 deny tcp from any to any dst-port 25 in via bge1

Следующие правила можно описать двумя:

55, 56, 70, 71, 72, 80, 82, 95, 100, 101, 102, 65530

00055 allow tcp from me to any

00056 allow tcp from any to me

Не вижу смысла в skipto 57-58 и deny 59, потом само порубается.

Правило 1020 специально продублировано?

Не понятно это правило:

65060 nat 1 all from any to any via bge0

Есть же 01020 и 60010

Если 65060 не несёт смысла, то удалить, и правила 01020 и 60010 поднять повыше. К примеру:

00060 nat tablearg all from any to table(33) in via bge0

00061 nat tablearg all from table(34) to any out via bge0

В правилах 10020 и 10025 счетчики по нулям. Подозреваю, что правила работали для one_pass=0, но теперь не нужны и можно удалить

00005 fwd 10.128.10.1 tcp from 172.16.30.0/24 to any

00010 allow all from any to any via lo0

00030 check-state

00040 reject log logamount 100 tcp from any to any tcpflags syn,fin,ack,psh,rst,urg

00041 reject log logamount 100 tcp from any to any tcpflags !syn,!fin,!ack,!psh,!rst,!urg

00042 reject log logamount 100 tcp from any to any not established tcpflags fin

00044 deny tcp from any to any tcpoptions !mss setup

00055 allow tcp from me to any

00056 allow tcp from any to me

00065 deny tcp from any to any dst-port 25 in recv bge1

01020 nat tablearg all from any to table(33) via bge0 in

09970 skipto 10130 all from table(14) to table(3) in recv ng*

09975 skipto 10135 all from table(3) to table(15) out xmit ng*

09980 skipto 10120 all from table(12) to table(2) in recv ng*

09985 skipto 10125 all from table(2) to table(13) out xmit ng*

10000 netgraph tablearg all from table(10) to any in recv ng*

10010 netgraph tablearg all from any to table(11) out xmit ng*

10020 allow all from table(9) to any in recv ng*

10025 allow all from any to table(9) out xmit ng*

10120 netgraph tablearg all from table(12) to any in recv ng*

10125 netgraph tablearg all from any to table(13) out xmit ng*

10130 netgraph tablearg all from table(14) to any in recv ng*

10135 netgraph tablearg all from any to table(15) out xmit ng*

10220 allow all from table(9) to table(2) in recv ng*

10225 allow all from table(2) to table(9) out xmit ng*

10230 allow all from table(9) to table(3) in recv ng*

10235 allow all from table(3) to table(9) out xmit ng*

60010 nat tablearg all from table(34) to any via bge0

65060 nat 1 all from any to any via bge0

65061 allow all from 172.16.20.0/23 to any

65062 allow all from any to 172.16.20.0/23

65532 allow tcp from any to any established

65534 deny all from any to any

65535 allow all from any to any

Для чего нужны 09970, 09975, 09980, 09985, 10120-10235? Там тоже по нулям. Если не нужны - удалить, нефиг зря нагружать проц.

спс, щас удалю

l1ght · 2015-02-17 18:22:27

ну навантаження в 17 кілопакетів - це ж мізер.

доречі в мене кактус знімає по снмп ппс - показує інші значення аніж netstat, кому вірити?

kvirtu · 2015-02-17 18:24:03

опять скачек, но уже :

89.36% irq19: bge0

~~swi1: net - по нулям~~

если включаю пoллинг на bge0 - swi1 сразу растет

Відредаговано 2015-02-17 18:27:52 kvirtu

l1ght · 2015-02-17 18:28:34

от коли скаче - профайлером його, щоб він одурів, від того що з ним роблять - та почав нормально працювати

а в загалі не розумію, що за процес swi1: net, то може ng_car? Чи без шейперу воно світилося?

Al G · 2015-02-17 18:34:49

что там с правилами?

на 55, 56 споткнуться может.

Відредаговано 2015-02-17 18:38:11 ZуXEL

kvirtu · 2015-02-17 18:35:14

В 17.02.2015 в 18:28, L1ght сказав:

от коли скаче - профайлером його, щоб він одурів, від того що з ним роблять - та почав нормально працювати

а в загалі не розумію, що за процес swi1: net, то може ng_car? Чи без шейперу воно світилося?

ну пока так , снимаю шейпера на время, инет хоть медленный , но есть. А с пиками нагрузки - капец.

swi1: net - сетевая подсистема

kvirtu · 2015-02-17 18:40:02

В 17.02.2015 в 18:34, ZуXEL сказав:

что там с правилами?

на 55, 56 споткнуться может.

не успел применить )

ttttt · 2015-02-17 18:55:35

В 17.02.2015 в 18:24, kvirtu сказав:
если включаю пoллинг на bge0 - swi1 сразу растет

А если kern.polling.idle_poll выключить? Вообще почитайте ман по поллингу, там много можно тюнить. HZ стоит 1000?

kvirtu · 2015-02-17 19:02:41

В 17.02.2015 в 18:55, ttttt сказав:

В 17.02.2015 в 18:24, kvirtu сказав:
если включаю пoллинг на bge0 - swi1 сразу растет
А если kern.polling.idle_poll выключить? Вообще почитайте ман по поллингу, там много можно тюнить. HZ стоит 1000?

kern.polling.idle_poll: 0 , в ядре есть HZ стоит 1000?

Al G · 2015-02-17 19:20:50

Забейте на поллинг. Перестаньте пинать труп. Проблема в данном случае - ipfw, который напичкан динамическими правилами и лишними проверками. Ведь процессор это всё обсчитывает.

kvirtu · 2015-02-17 19:31:14

В 17.02.2015 в 19:20, ZуXEL сказав:
Забейте на поллинг. Перестаньте пинать труп. Проблема в данном случае - ipfw, который напичкан динамическими правилами и лишними проверками. Ведь процессор это всё обсчитывает.

про поллинг я понял,

подскажите, плиз, правила, которые нафиг нужно снести ?

kha0s · 2015-02-17 20:00:20

В 17.02.2015 в 19:31, kvirtu сказав:
подскажите, плиз, правила, которые нафиг нужно снести ?

Все в которых встречается слово state и предпоследнее (глобальный deny). Добавить те, что я ранее писал. Они хорошо отфильтруют мусор и не нагрузят зря систему. Как то я пропустил мимо о, что это же НАТ для такой тучи клиентов и весь он через состояния к тому-же крутится.

Відредаговано 2015-02-17 20:01:20 kha0s

ttttt · 2015-02-17 20:18:58

Короче да, большие шансы, что проблема в динамических правилах. Тут тогда и новое железо не поможет, надо переделывать.

Увійти

FreeBSD 7.2 - Высокий load averages

Рекомендованные сообщения

kvirtu 315

Ссылка на сообщение

Поделиться на других сайтах

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

Posted Images

kvirtu 315

Ссылка на сообщение

Поделиться на других сайтах

kha0s 112

Ссылка на сообщение

Поделиться на других сайтах

kvirtu 315

Ссылка на сообщение

Поделиться на других сайтах

kha0s 112

Ссылка на сообщение

Поделиться на других сайтах

Ромка 567

Ссылка на сообщение

Поделиться на других сайтах

kvirtu 315

Ссылка на сообщение

Поделиться на других сайтах

kvirtu 315

Ссылка на сообщение

Поделиться на других сайтах

kvirtu 315

Ссылка на сообщение

Поделиться на других сайтах

kvirtu 315

Ссылка на сообщение

Поделиться на других сайтах

ttttt 195

Ссылка на сообщение

Поделиться на других сайтах

Al G 0

Ссылка на сообщение

Поделиться на других сайтах

kvirtu 315

Ссылка на сообщение

Поделиться на других сайтах

l1ght 377

Ссылка на сообщение

Поделиться на других сайтах

kvirtu 315

Ссылка на сообщение

Поделиться на других сайтах

l1ght 377

Ссылка на сообщение

Поделиться на других сайтах

Al G 0

Ссылка на сообщение

Поделиться на других сайтах

kvirtu 315

Ссылка на сообщение

Поделиться на других сайтах

kvirtu 315

Ссылка на сообщение

Поделиться на других сайтах

ttttt 195

Ссылка на сообщение

Поделиться на других сайтах

kvirtu 315

Ссылка на сообщение

Поделиться на других сайтах

Al G 0

Ссылка на сообщение

Поделиться на других сайтах

kvirtu 315

Ссылка на сообщение

Поделиться на других сайтах

kha0s 112

Ссылка на сообщение