The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Тормозит сеть на 6.1-RELEASE FreeBSD "
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Тормозит сеть на 6.1-RELEASE FreeBSD "  
Сообщение от bsdaemon email(ok) on 20-Авг-06, 22:26 
Доброго всем время суток,
Неизвестно из-за чего, вдруг пинг на сервер стал на 50-70мс, хотя ранее было 1-2мс (локалка)
Удивило что NATD занимает до 60% CPU (установлен 600MHz). Карточка Intel 100Mbit (внутреняя) Realtek (внешняя). Плохо пингуется в обе стороны :(
Если убираю divert пинг не более 1-2мс. Подскажите куда копать?


67 processes:  2 running, 65 sleeping
CPU states: 18.2% user,  0.0% nice, 57.4% system, 24.3% interrupt,  0.0% idle
Mem: 50M Active, 61M Inact, 36M Wired, 28M Buf, 36M Free
Swap: 1024M Total, 1024M Free

  PID USERNAME  THR PRI NICE   SIZE    RES STATE    TIME   WCPU COMMAND
  461 root        1 126    0  4376K  3968K RUN     49:39 57.23% natd
  750 nobody     19  20    0 41616K 37832K kserel   9:35  0.00% squid

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Тормозит сеть на 6.1-RELEASE FreeBSD"  
Сообщение от nimb email(??) on 20-Авг-06, 23:00 
Для начала посмотреть, чем natd загружен, включить для него лог, например. Либо сразу проверять, что приходит/уходит с/на natd на интерфейсах.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "Тормозит сеть на 6.1-RELEASE FreeBSD"  
Сообщение от bsdaemon email(ok) on 21-Авг-06, 01:07 
>Для начала посмотреть, чем natd загружен, включить для него лог, например. Либо
>сразу проверять, что приходит/уходит с/на natd на интерфейсах.
трафик локальной сети на 200 юзерей... ест..но вирусы и прочее. (сплошной транзит)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "Тормозит сеть на 6.1-RELEASE FreeBSD "  
Сообщение от perece on 21-Авг-06, 01:08 
>Доброго всем время суток,
>Неизвестно из-за чего, вдруг пинг на сервер стал на 50-70мс, хотя ранее
>было 1-2мс (локалка)
>Удивило что NATD занимает до 60% CPU (установлен 600MHz). Карточка Intel 100Mbit
>(внутреняя) Realtek (внешняя). Плохо пингуется в обе стороны :(
>Если убираю divert пинг не более 1-2мс. Подскажите куда копать?
искать флудера (завирусованую машину) в локальной сети. и ДАВИТЬ!!!
опять, скажут, телепатия. но базовых понятий не отменял никто. НАТ предполагает отслеживание соединений (неважно как и чем он делается, у мя напр linux/iptables), что сильно, на несколько порядков увеличивает processing overhead для пакетов "создающих соединения" - т.е. для тех, коим XLAT-записи (термин cisco) еще не соответствует и для коих она должна быть создана. когда вирус начинает искать жертву в нете, неважно tcp syn scan это или icmp-scan, то _каждый_ такой пакет-проба создает соединение на твоем нат-хосте, а генерят вири их сотнями в секунду. когда НАТа (и, стсно, отслеживания соединений) нет - такой пакет ничем не отличается от любого другого для твоего роутера, и пропускать он их через себя может десятками или даже сотнями тысяч без проблем. отсюда и эффект.

\^P^/

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "Тормозит сеть на 6.1-RELEASE FreeBSD "  
Сообщение от Shaokoa email on 21-Авг-06, 01:15 
Но ведь у человека 2 Фейса, один в локалку а второй в другое место....   ка ктогда обьяснить это? пусть зараженая машига в одной сети, а во второй?что такая же?
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "Тормозит сеть на 6.1-RELEASE FreeBSD "  
Сообщение от perece on 21-Авг-06, 01:20 
>Но ведь у человека 2 Фейса, один в локалку а второй в
>другое место....   ка ктогда обьяснить это? пусть зараженая машига
>в одной сети, а во второй?что такая же?
налицо непонимание того, как делается PAT/Masquerading/Dynamic NAT/назовихотьгоршком
фишка в том, что XLAT (или как ни назови опять же) создается первым прошедшим пакетом, syn вслучае tcp. а не syn+ack'ом в ответ. стсно когда едет син-скан, пофигу что не отвечает никто. каждый плюнутый одним единственным флудером изнутри наружу пакет - это XLAT на НАТящем хосте. _КАЖДЫЙ_.

\^P^/

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру