forum.opennet.ru - "ipfw, keep-state and limit" (10)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"ipfw, keep-state and limit"

Форумы Открытые системы на сервере (Firewall, Фильтрация пакетов)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"ipfw, keep-state and limit"		+/–
Сообщение от tarpedo (??) on 29-Янв-10, 20:01
проблемка. стандартная конструкция 00061 allow ip from any to 10.0.0.0/8 via rl0 setup limit src-addr 50 работает, НО! как только все 50 коннектов заполняются, новые уже не создаются.... правило убираю - все пошло, добавляю - по новой. куда копать не знаю... p.s. почему четырех ядерный интел квад с FREEbsd 8.0 пропускает через себя только 430 Мбит и все... при этом загружен на 5 процентов.... Больше - хоть лопни...
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

ipfw, keep-state and limit, Aquarius, 17:36 , 30-Янв-10, (1)

ipfw, keep-state and limit, tarpedo, 18:48 , 30-Янв-10, (2)

ipfw, keep-state and limit, Aquarius, 19:15 , 30-Янв-10, (3)

ipfw, keep-state and limit, sproot, 06:42 , 31-Янв-10, (4)

ipfw, keep-state and limit, tarpedo, 16:58 , 31-Янв-10, (5)

ipfw, keep-state and limit, sproot, 13:01 , 01-Фев-10, (6)

ipfw, keep-state and limit, tarpedo, 15:54 , 01-Фев-10, (7)

ipfw, keep-state and limit, sproot, 17:00 , 01-Фев-10, (8)

ipfw, keep-state and limit, tarpedo, 11:44 , 09-Мрт-10, (9)

ipfw, keep-state and limit, sproot, 14:24 , 10-Мрт-10, (10)

Сообщения по теме [Сортировка по времени | RSS]

1. "ipfw, keep-state and limit" +/–

Сообщение от Aquarius (ok) on 30-Янв-10, 17:36

>[оверквотинг удален]
>работает, НО!
>как только все 50 коннектов заполняются, новые уже не создаются....
>
>правило убираю - все пошло, добавляю - по новой.
>
>куда копать не знаю...
>
>p.s. почему четырех ядерный интел квад с FREEbsd 8.0 пропускает через себя
>только 430 Мбит и все... при этом загружен на 5 процентов....
>Больше - хоть лопни...
а должно как?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "ipfw, keep-state and limit" +/–

Сообщение от tarpedo (??) on 30-Янв-10, 18:48

>а должно как?
должно ставить лимит, а не пропустило 50 коннектов и когда они даже зарываются - новые все равно не пускает.
как то обнулять чтоб... ввобщем логика этого лимита мне не понятна

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "ipfw, keep-state and limit" +/–

Сообщение от Aquarius (ok) on 30-Янв-10, 19:15

>>а должно как?
>
>должно ставить лимит, а не пропустило 50 коннектов и когда они даже
>зарываются - новые все равно не пускает.
>
>как то обнулять чтоб... ввобщем логика этого лимита мне не понятна
читать документацию на предмет timeout
особенно в контексте setup/keep-state
P.S. по поводу 430 Мбит 2 варианта:
1. либо речь идет о том, что поток входящий и исходящий идет через один сетевой интерфейс, тогда проверить на предмет Full Duplex
2. и в любом случае не мешает самоликбез по принципам работы ethernet и связанными с этим принципиальными ограничениями

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "ipfw, keep-state and limit" +/–

Сообщение от sproot (ok) on 31-Янв-10, 06:42

>[оверквотинг удален]
>работает, НО!
>как только все 50 коннектов заполняются, новые уже не создаются....
>
>правило убираю - все пошло, добавляю - по новой.
>
>куда копать не знаю...
>
>p.s. почему четырех ядерный интел квад с FREEbsd 8.0 пропускает через себя
>только 430 Мбит и все... при этом загружен на 5 процентов....
>Больше - хоть лопни...
Про 430Mbps. Сетевая карта на какой шине(pci-x,pci-e..)?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "ipfw, keep-state and limit" +/–

Сообщение от tarpedo (??) on 31-Янв-10, 16:58

>Про 430Mbps. Сетевая карта на какой шине(pci-x,pci-e..)?
огромное спасибо)
может подскажете в этом плане. сейчас используются ASUS P5KPL-AM и две INTEL PRO/1000 GT.
на что можно заменить эту пару в таком же ценовом диапазоне или самое дешевое в этом плане что бы получить больше скорости?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "ipfw, keep-state and limit" +/–

Сообщение от sproot (ok) on 01-Фев-10, 13:01

>>Про 430Mbps. Сетевая карта на какой шине(pci-x,pci-e..)?
>
>огромное спасибо)
>
>может подскажете в этом плане. сейчас используются ASUS P5KPL-AM и две INTEL
>PRO/1000 GT.
>
>на что можно заменить эту пару в таком же ценовом диапазоне или
>самое дешевое в этом плане что бы получить больше скорости?
Пропускная способность PCI 2.1-3.0 в режиме 66 МГц — 266 Мбайт/с(2128Mbps)
При использовании двух гигабитных карточек с функцией bus-master, PCI шина будет полностью утилизирована. Честно говоря, я не думаю что есть узкое место в аппаратной части.
Какой драйвер используется? Не этот:
http://downloadcenter.intel.com/Detail_Desc.aspx?agr=Y&Dwnld...
?
Правда, там написано "for FreeBSD* 7.x", но "а вдруг"..
Чем скорость меряли?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "ipfw, keep-state and limit" +/–

Сообщение от tarpedo (??) on 01-Фев-10, 15:54

дров яндексовские, мерял iperf гигабитным линком между двумя однотипными серверами.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "ipfw, keep-state and limit" +/–

Сообщение от sproot (ok) on 01-Фев-10, 17:00

>дров яндексовские, мерял iperf гигабитным линком между двумя однотипными серверами.
Интеловские не пробовали? polling включен? jumbo frame заюзан? Что показывает netstat -inbd? Между серверами прямой линк? С какими ключами iperf был запущен? checksum
offloading включен или выключен? Что показывает ifconfig -a? Производился ли тюнинг TCP/IP стека? Что показывает ifconfig -m?
Посмотреть sysctl dev.em.0.stats=1 && dmesg и
sysctl dev.em.1.stats=1 && dmesg
Попробуй такие параметры(взято отсюда: http://forum.nag.ru/forum/index.php?showtopic=47174&st=80):
loader.conf: hw_em_txd/rxd=4096
sysctl
net.inet.ip.intr_queue_maxlen=1000
dev.em.1.rx_kthreads: 4
dev.em.1.rx_int_delay: 600
dev.em.1.tx_int_delay: 600
dev.em.1.rx_abs_int_delay: 1000
dev.em.1.tx_abs_int_delay: 1000

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "ipfw, keep-state and limit" +/–

Сообщение от tarpedo (??) on 09-Мрт-10, 11:44

на данный момент стоят официальные 6.9.21, разные тюнинги не помогли...
максимум проходящий через сервер держится возле ~420 Мбит (тоесть проходит через две сетевухи как шлюз и натится). столько же выдает и iperf с одной сетевухи при передаче им трафика между двумя однотипными серверами.
всего таких серверов более 4 и на всех ситуация одинаковая....
немогу просто точно определится дело в железе или всетаки где то в настройках ОС...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "ipfw, keep-state and limit" +/–

Сообщение от sproot (ok) on 10-Мрт-10, 14:24

>на данный момент стоят официальные 6.9.21, разные тюнинги не помогли...
>
>максимум проходящий через сервер держится возле ~420 Мбит (тоесть проходит через две
>сетевухи как шлюз и натится). столько же выдает и iperf с
>одной сетевухи при передаче им трафика между двумя однотипными серверами.
>
>всего таких серверов более 4 и на всех ситуация одинаковая....
>
>немогу просто точно определится дело в железе или всетаки где то в
>настройках ОС...
sysctl dev.em.X.stats=1
Что интересного в статистике после замера трафика?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ipfw, keep-state and limit"		+/–
Сообщение от Aquarius (ok) on 30-Янв-10, 17:36
>[оверквотинг удален] >работает, НО! >как только все 50 коннектов заполняются, новые уже не создаются.... > >правило убираю - все пошло, добавляю - по новой. > >куда копать не знаю... > >p.s. почему четырех ядерный интел квад с FREEbsd 8.0 пропускает через себя >только 430 Мбит и все... при этом загружен на 5 процентов.... >Больше - хоть лопни... а должно как?
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	2. "ipfw, keep-state and limit"		+/–
	Сообщение от tarpedo (??) on 30-Янв-10, 18:48
	>а должно как? должно ставить лимит, а не пропустило 50 коннектов и когда они даже зарываются - новые все равно не пускает. как то обнулять чтоб... ввобщем логика этого лимита мне не понятна
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	3. "ipfw, keep-state and limit"		+/–
	Сообщение от Aquarius (ok) on 30-Янв-10, 19:15
	>>а должно как? > >должно ставить лимит, а не пропустило 50 коннектов и когда они даже >зарываются - новые все равно не пускает. > >как то обнулять чтоб... ввобщем логика этого лимита мне не понятна читать документацию на предмет timeout особенно в контексте setup/keep-state P.S. по поводу 430 Мбит 2 варианта: 1. либо речь идет о том, что поток входящий и исходящий идет через один сетевой интерфейс, тогда проверить на предмет Full Duplex 2. и в любом случае не мешает самоликбез по принципам работы ethernet и связанными с этим принципиальными ограничениями
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору

4. "ipfw, keep-state and limit"		+/–
Сообщение от sproot (ok) on 31-Янв-10, 06:42
>[оверквотинг удален] >работает, НО! >как только все 50 коннектов заполняются, новые уже не создаются.... > >правило убираю - все пошло, добавляю - по новой. > >куда копать не знаю... > >p.s. почему четырех ядерный интел квад с FREEbsd 8.0 пропускает через себя >только 430 Мбит и все... при этом загружен на 5 процентов.... >Больше - хоть лопни... Про 430Mbps. Сетевая карта на какой шине(pci-x,pci-e..)?
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	5. "ipfw, keep-state and limit"		+/–
	Сообщение от tarpedo (??) on 31-Янв-10, 16:58
	>Про 430Mbps. Сетевая карта на какой шине(pci-x,pci-e..)? огромное спасибо) может подскажете в этом плане. сейчас используются ASUS P5KPL-AM и две INTEL PRO/1000 GT. на что можно заменить эту пару в таком же ценовом диапазоне или самое дешевое в этом плане что бы получить больше скорости?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	6. "ipfw, keep-state and limit"		+/–
	Сообщение от sproot (ok) on 01-Фев-10, 13:01
	>>Про 430Mbps. Сетевая карта на какой шине(pci-x,pci-e..)? > >огромное спасибо) > >может подскажете в этом плане. сейчас используются ASUS P5KPL-AM и две INTEL >PRO/1000 GT. > >на что можно заменить эту пару в таком же ценовом диапазоне или >самое дешевое в этом плане что бы получить больше скорости? Пропускная способность PCI 2.1-3.0 в режиме 66 МГц — 266 Мбайт/с(2128Mbps) При использовании двух гигабитных карточек с функцией bus-master, PCI шина будет полностью утилизирована. Честно говоря, я не думаю что есть узкое место в аппаратной части. Какой драйвер используется? Не этот: http://downloadcenter.intel.com/Detail_Desc.aspx?agr=Y&Dwnld... ? Правда, там написано "for FreeBSD* 7.x", но "а вдруг".. Чем скорость меряли?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	7. "ipfw, keep-state and limit"		+/–
	Сообщение от tarpedo (??) on 01-Фев-10, 15:54
	дров яндексовские, мерял iperf гигабитным линком между двумя однотипными серверами.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	8. "ipfw, keep-state and limit"		+/–
	Сообщение от sproot (ok) on 01-Фев-10, 17:00
	>дров яндексовские, мерял iperf гигабитным линком между двумя однотипными серверами. Интеловские не пробовали? polling включен? jumbo frame заюзан? Что показывает netstat -inbd? Между серверами прямой линк? С какими ключами iperf был запущен? checksum offloading включен или выключен? Что показывает ifconfig -a? Производился ли тюнинг TCP/IP стека? Что показывает ifconfig -m? Посмотреть sysctl dev.em.0.stats=1 && dmesg и sysctl dev.em.1.stats=1 && dmesg Попробуй такие параметры(взято отсюда: http://forum.nag.ru/forum/index.php?showtopic=47174&st=80): loader.conf: hw_em_txd/rxd=4096 sysctl net.inet.ip.intr_queue_maxlen=1000 dev.em.1.rx_kthreads: 4 dev.em.1.rx_int_delay: 600 dev.em.1.tx_int_delay: 600 dev.em.1.rx_abs_int_delay: 1000 dev.em.1.tx_abs_int_delay: 1000
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	9. "ipfw, keep-state and limit"		+/–
	Сообщение от tarpedo (??) on 09-Мрт-10, 11:44
	на данный момент стоят официальные 6.9.21, разные тюнинги не помогли... максимум проходящий через сервер держится возле ~420 Мбит (тоесть проходит через две сетевухи как шлюз и натится). столько же выдает и iperf с одной сетевухи при передаче им трафика между двумя однотипными серверами. всего таких серверов более 4 и на всех ситуация одинаковая.... немогу просто точно определится дело в железе или всетаки где то в настройках ОС...
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	10. "ipfw, keep-state and limit"		+/–
	Сообщение от sproot (ok) on 10-Мрт-10, 14:24
	>на данный момент стоят официальные 6.9.21, разные тюнинги не помогли... > >максимум проходящий через сервер держится возле ~420 Мбит (тоесть проходит через две >сетевухи как шлюз и натится). столько же выдает и iperf с >одной сетевухи при передаче им трафика между двумя однотипными серверами. > >всего таких серверов более 4 и на всех ситуация одинаковая.... > >немогу просто точно определится дело в железе или всетаки где то в >настройках ОС... sysctl dev.em.X.stats=1 Что интересного в статистике после замера трафика?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору