чтото режет аплоад, не пойму что

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

чтото режет аплоад, не пойму что

Непрочитанное сообщение mediamag » 2009-08-24 23:55:54

Вот конфиг фаераа

Код: Выделить всё

#!/bin/sh


extif="ed0"
extnet="10.100.1.0/24"
extip="10.100.1.2"


intif="vr0"
intnet="10.100.2.0/24"
intip="10.100.2.200"



fwcmd="/sbin/ipfw  "


${fwcmd} -f flush

${fwcmd} -f pipe flush

${fwcmd} -f queue flush

${fwcmd} -f table 1 flush


### Table 1 ###
${fwcmd} table 1 add 10.100.2.1

#### DUMMYNET ####

#${fwcmd} 10 add pipe 1 tcp from not ${intnet} to 192.168.0.60 41000 via ${intif}
#${fwcmd} 11 add pipe 2 tcp from 192.168.0.60 41000 to not ${intnet} out via ${extif}
#${fwcmd} pipe 1 config bw 512Kbit/s mask dst-ip 0xffffffff
#${fwcmd} pipe 2 config bw 256Kbit/s mask dst-ip 0xffffffff

### Dinamic rule ###

${fwcmd} add 50 check-state

### Standart Antispoofing  ###

${fwcmd} add 100 deny ip from any to any not verrevpath in

### kill fragments  ###

${fwcmd} add 150 deny ip from any to any frag

### block Petlia (127.0.0.1) lo0 ###

${fwcmd} add 160 deny ip from any to 127.0.0.0/8
${fwcmd} add 170 deny ip from 127.0.0.0/8 to any
###  loopback  ###

${fwcmd} add 180 allow ip from any to any via lo0

### antispoofing 2 ###

${fwcmd} add 220 deny all from ${intnet} to any in via ${extif}
${fwcmd} add 230 deny all from ${extnet} to any in via ${intif}

### block internal LAN which can`t be in internet ###

${fwcmd} add 240 deny ip from any to 192.168.0.0/16 in via ${extif}
${fwcmd} add 250 deny ip from any to 172.16.0.0/12 in via ${extif}
${fwcmd} add 260 deny ip from any to 0.0.0.0/8 in via ${extif}
${fwcmd} add 270 deny ip from any to 169.254.0.0/16 in via ${extif}

### block multicast deliver ###

${fwcmd} add 280 deny ip from any to 224.0.0.0/4 in via ${extif}
${fwcmd} add 290 deny ip from any to 240.0.0.0/4 in via ${extif}

### block fragments and undesirable icmp requests ###

${fwcmd} add 300 deny icmp from any to any frag
${fwcmd} add 310 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
### anti scaner ports ###

${fwcmd} add 320 reject tcp from any to any tcpflags fin, syn, rst, psh, ack, urg
${fwcmd} add 330 reject tcp from any to any tcpflags !fin, !syn, !rst, !psh, !ack, !urg
${fwcmd} add 340 reject tcp from any to any not established tcpflags fin
${fwcmd} add 350 reject log ip from any to any not verrevpath in

### Block ident ###

${fwcmd} add 360 deny tcp from any to any 113 in via ${extif}

### block net-bios ###

${fwcmd} add 370 deny tcp from any to any 135,136,137,138,139 in via ${extif}

#### block broadcast through icmp  ###

${fwcmd} add 380 deny log icmp from any to 255.255.255.255 in via ${extif}
${fwcmd} add 390 deny log icmp from any to 255.255.255.255 out via ${extif}

###  LAN traffic  ###

${fwcmd} add 400 allow ip from ${intnet} to ${intnet} via ${intif}

### allow SQUID proxy ###

#${fwcmd} add 450 fwd 127.0.0.1,8080 tcp from ${intnet} to any 80 via ${extif}
#  NAT

${fwcmd} add 500 divert natd ip from ${intnet} to any out via ${extif}
${fwcmd} add 510 divert natd ip from any to ${extip} in via ${extif}

### block internal LAN for NAT  ###

${fwcmd} add 600 deny ip from 192.168.0.0/16 to any out via ${extif}
${fwcmd} add 610 deny ip from 172.16.0.0/12 to any out via ${extif}
${fwcmd} add 620 deny ip from 0.0.0.0/8 to any out via ${extif}
${fwcmd} add 630 deny ip from 169.254.0.0/16 to any out via ${extif}

### block multicast for NAT ###

${fwcmd} add 640 deny ip from 224.0.0.0/4 to any out via ${extif}
${fwcmd} add 650 deny ip from 240.0.0.0/4 to any out via ${extif}

### block icmp (ping, etc) on ext IP ###

#${fwcmd} add 660 deny icmp from any to ${extip}

### allow  icmp (ping, tracert) ###

${fwcmd} add 670 allow icmp from any to any icmptype 0,8,11

### allow established TCP packets
${fwcmd} add 680 allow tcp from any to any established

### allow DNS requests ###

${fwcmd} add 700 allow udp from any to ${extip} 53 in via ${extif}
${fwcmd} add 710 allow udp from ${extip} 53 to any out via ${extif}
${fwcmd} add 720 allow udp from any 53 to ${extip} in via ${extif}
${fwcmd} add 730 allow udp from ${extip} to any 53 out via ${extif}

### allow tcp DNS requests over 53 tcp ###

${fwcmd} add 740 allow tcp from any to ${extip} 53 in via ${extif}

#### allow ssh from internet ###

${fwcmd} add 750 allow tcp from any to ${extip} 35665 in via ${extif} setup

### redirect_port for natd.conf ###

${fwcmd} add 800 allow udp from any to 10.100.2.1 27015 via ${extif}
${fwcmd} add 810 allow udp from any to 10.100.2.1 27015 via ${intif}

### CS ###

${fwcmd} add 900 allow udp from any 27005-27030 to ${intnet} in via ${extif}
${fwcmd} add 910 allow udp from any 27005-27030 to ${intnet} out via ${intif}
${fwcmd} add 920 allow udp from ${intnet} to any 27005-27030 in via ${intif}
${fwcmd} add 930 allow udp from ${extip} to any 27005-27030 out via ${extif}

# блок всех остальных установленных tcp соединений

${fwcmd} add 1900 deny tcp from any to ${extip} in via ${extif} setup

# разрешить установленные tcp соединения с внешнего IP на внешний интерфейс

${fwcmd} add 2000 allow tcp from ${extip} to any out via ${extif} setup
${fwcmd} add 2100 allow tcp from any to ${extip} in via ${intif} setup


###################  USER INET BEGIN #################################


### allow tcp packets for all LAN ###

${fwcmd} add 2200 allow tcp from ${intnet} to any 5190 in via ${intif} setup

### allow tcp packets for inet-users ###

${fwcmd} add 2201 allow tcp from "table(1)" to any in via ${intif} setup

################ INET USERS END ########################

### block ALL ###
${fwcmd} add 65533 deny log ip from any to me
${fwcmd} add 65534 deny log ip from any to any
Пересобрал ядро с параметрами

Код: Выделить всё

IPFIREWALL
IPFIREWALL_VERBOSE
IPFIREWALL_VERBOSE_LIMIT=100
IPFIREWALL_FORWARD
IPDIVERT
DUMMYNET
HZ=1000
IPFIREWALL_DEFAULT_TO_ACCEPT
Аплоад 0,01 кб\сек, даунлоад нормальный..юзаю адсл...если подрубить напрямую адсл к компу минуя фряху, то аплоад нормализуется по скорости...подскажите плиз в чем может быть грабли??? Больше никаких конфигов не менял. Юзаю фряху 7,2. Этот конфиг фаера мигрирует мною с других серверов..на прошлых все было нормально, а вот на последнем вылезли грабли.
Последний раз редактировалось mediamag 2009-08-24 23:57:47, всего редактировалось 1 раз.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: чтото режет аплоад, не пойму что

Непрочитанное сообщение paradox » 2009-08-24 23:57:47

убей фаер и поставь пасс алл фром ани ту ани
и проверяй
нормализуеться или нет

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: чтото режет аплоад, не пойму что

Непрочитанное сообщение mediamag » 2009-08-25 1:52:44

упростил конфиг до такого состояния

Код: Выделить всё

extif="ed0"
extnet="10.100.1.0/24"
extip="10.100.1.2"


intif="vr0"
intnet="10.100.2.0/24"
intip="10.100.2.200"



fwcmd="/sbin/ipfw  "


${fwcmd} -f flush

${fwcmd} -f pipe flush

${fwcmd} -f queue flush


#  NAT

${fwcmd} add 500 divert natd ip from ${intnet} to any out via ${extif}
${fwcmd} add 510 divert natd ip from any to ${extip} in via ${extif}
аплоад нормализовался!!! В каком именно правиле может быть грабли, если этот конфиг юзаю на многих серваках?????

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: чтото режет аплоад, не пойму что

Непрочитанное сообщение mediamag » 2009-08-25 11:37:25

Подскажите люди добрые)))) с ног сбился искать....

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: чтото режет аплоад, не пойму что

Непрочитанное сообщение paradox » 2009-08-25 11:41:25

что может быть проще
разбей свои правила на логические блоки
и убирай по одному блоку
после какого заработает
значит тот блок правил и глючит

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: чтото режет аплоад, не пойму что

Непрочитанное сообщение mediamag » 2009-08-25 17:41:08

Да я понимаю что это единственный выход, но меня мучяет вопрос...почему на 7 фре с таким же конфигом не было подобных лагов????...какое правило бочинило - отпишу позже.

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: чтото режет аплоад, не пойму что

Непрочитанное сообщение paradox » 2009-08-25 17:46:39

возможно потому что вы не знаете в чем разница между версиями
попробуйте прочитать man ipfw под разными версиями
вдруг там чтто ввели новое

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: чтото режет аплоад, не пойму что

Непрочитанное сообщение terminus » 2009-08-25 17:52:44

чтобы найти ошибку это надо весь этот монстраидальный конфиг через голову прогнать - это же убиться можно :pardon:

почему у вас кругом идет речь про сети 10.100.Х.0 а пайпы настроены для какой-то 192.168.0.60 :unknown:

Код: Выделить всё

#${fwcmd} 10 add pipe 1 tcp from not ${intnet} to 192.168.0.60 41000 via ${intif}
#${fwcmd} 11 add pipe 2 tcp from 192.168.0.60 41000 to not ${intnet} out via ${extif}
#${fwcmd} pipe 1 config bw 512Kbit/s mask dst-ip 0xffffffff
#${fwcmd} pipe 2 config bw 256Kbit/s mask dst-ip 0xffffffff
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: чтото режет аплоад, не пойму что

Непрочитанное сообщение mediamag » 2009-08-25 18:01:17

это конфиг с другого сервака...пайпы закоментены...они не могут быть причиной глюка...кстати, заметил ЧТО!!!!....меняю конфиг

Код: Выделить всё

extif="ed0"
extnet="10.100.1.0/24"
extip="10.100.1.2"


intif="vr0"
intnet="10.100.2.0/24"
intip="10.100.2.200"



fwcmd="/sbin/ipfw  "


${fwcmd} -f flush

${fwcmd} -f pipe flush

${fwcmd} -f queue flush


#  NAT

${fwcmd} add 500 divert natd ip from ${intnet} to any out via ${extif}
${fwcmd} add 510 divert natd ip from any to ${extip} in via ${extif}
на мой полный конфиг - применяю правила без перезагрузки компа И!!! лагов нет!!...как это понять то?????? если перезагружаю комп, то аплоад опять 0,01 кб...

Overseer
сержант
Сообщения: 218
Зарегистрирован: 2008-03-20 23:00:42

Re: чтото режет аплоад, не пойму что

Непрочитанное сообщение Overseer » 2009-08-26 23:59:01

сравните вывод

Код: Выделить всё

ipfw show
с правилами фаервола в скрипте. все правила правильно загрузились?

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: чтото режет аплоад, не пойму что

Непрочитанное сообщение mediamag » 2009-08-27 10:04:21

Да - все на 100% загружены. Этот скрипт на фре 6,4 и 7,0 работал отлично - такое впечатление что на 7,2 чтото поменяли...Заметил еще одну фишку...если аплоадить файл кудато, то аплоад идет на полную, а если например проверять спидтестом, то аплоад 0,01 кб сек...также если логинится на майл ру гмаил или любой другой сайт, требующий лог и пасс, авторизация долго стоит на месте.

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: чтото режет аплоад, не пойму что

Непрочитанное сообщение mediamag » 2009-08-28 18:11:17

Нашел правило, которое не дает разогнатся аплоаду...это

Код: Выделить всё

65534 deny all from any to any
....на другом компе настроил точно такую же фряху с таким же ядром и конфигом фаера но версия 7,0 - в ней этого глюка нет. В 7,2 определенно чтото поменяли..подскажите плиз что именно или где почитать??? Незнаю даже с чего начать...