FreeBSD - обрыв TCP соединений из-за PF

[Dorlas]

Сегодня полдня на одном им серверов борол непонятную для меня багу:
При передаче с сервера большого файла (более 120 мб) по протоколу TCP (пробовал SCP и FTP) происходит обрыв примерно на 115-125 мбайтах (т.е. столько передается, дальше рвется).

Сервер: Sun Fire X4200 M2
Данные: FreeBSD 7.2-STABLE AMD64
Сетевая: Dual Port Gigabit Ethernet Controller (Copper) (82546EB) (em0,1)
Тюнинг (пробовал по разному, пробовал оставлять пустым /etc/sysctl.conf - никак не влияет)
Межсетевой экран: PF
Ядро - стандартное (default)

Так вот - после 4 часов ковыряния было случайно выяснено, что при отключении PF проблема УХОДИТ (ничего не рвется, можно передавать 10-ками гигабайт).

Далее ковырял PF - виснет в любой комбинации (с одним правилом: pass all, в выключенным или включенным scrub-ом, с большим списком).
Если сделать pfctl -d - все сразу работает.

В итоге пришлось сделать set skip on em0 (это внутренний интерфейс, для него PF практически не нужен - он только для em1 используется реально (проброс портов в JAIL-ы) - и мне это помогло.

В общем такая вот петрушка - если кому поможет, буду рад.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

выводы - юзайте ipfw

[gloom]

а где веское слово парадокса?
он пф хвалил

[agat]

выводы - юзайте ipfw

а натить тогда чем?

[Sargas]

выводы - юзайте ipfw

а натить тогда чем?

Шейпить Ipfw, а натить pf'om

[Гость]

а где веское слово парадокса?
он пф хвалил

давайте сравним когда последний раз апдейтился PF в FreeBSD, и как часто точиться ipfw
при таком отношении, лично я бы желал видеть PF обратно в портах
а уж кто его любит и использует сами смогут что надо и как надо прикрутить.

[toxic]

Кстати народ есть тут вопрос маленький. Говорят что PF не умет работать с много процессорными системами, а то есть говорят что все задачи выполняются в одном процессе и перегрузке может зависнуть. Скажем так миф или реальность, так как в инете нашол только косвенные подтверждение и то на одном источники (какой то форум). В общем чему верить. Знающие ответ на этот вопрос кинте официальную силку где это подтверждается или опровергается.

А вкраце: Как пф работает на много процессорных системах?

[agat]

Я чесно сказать такого первый раз слышу PF работает на 4х ядерном Xeon года полтора уж,
максимум какие косяки с ним были это марвеловские сетевки не пропускали толстые пакеты, поставил intel pci-x все серв в uptime 6 месяцев. 100 мбт/c gate все PFит и все натит.

Может быть это просто миф? или вы не умеете готовить PF

[Dorlas]

А если пруфлинк ??? http://www.openbsd.org/faq/pf/perf.html

Код: Выделить всё

Will multiple processors help?
PF will only use one processor, so multiple processors (or multiple cores) WILL NOT improve PF performance. HOWEVER, under some circumstances, running the SMP version of OpenBSD (bsd.mp) instead of bsd will give better performance due to differences in how interrupt handling is done. In many cases, bsd.mp will give less performance. IF you are seeing performance problems, experiment with this, most users will never hit any limits to worry about it.

[toxic]

Спасибо, можно спать спокойно.