ipfw: install_state: Too many dynamic rules

[wel]

Привет всем
добавил Себе keep-state правил и через роутер сразу же стали очень медленно открываться страницы

Код: Выделить всё

00001    67505502    53491754840 skipto 5 tag 1 ip from any to any in recv vlan61 keep-state
00002     4479280     5060513463 skipto 6 tag 2 ip from any to any in recv vlan20 keep-state
00005    81856841    61218996370 setfib 0 ip from any to any tagged 1
00006    13205573    15295799291 setfib 1 ip from any to any tagged 2
00007     4455086     5054890557 nat 123 ip from any to 91.ххх.ххх.ххх in via vlan20 tagged 2
00008      494650       41925439 deny ip from any to any dst-port 137-141
00010           0              0 deny ip from table(4) to any dst-port 25
64000     3175045      776282256 nat 123 ip from table(1) to any out
65535 34577394603 24841735869542 allow ip from any to any

sysctl -a kern

Код: Выделить всё

kern.ncallout: 18508
kern.hz: 2000
kern.msgbuf_clear: 0
kern.msgbuf: _state: Too many dynamic rules
ipfw: install_state: Too many dynamic rules
ipfw: install_state: Too many dynamic rules
ipfw: install_state: Too many dynamic rules

Поменял sysctl net.inet.ip.fw.dyn_buckets: 256=>2048
net.inet.ip.fw.dyn_max =>16384
Страницы стали быстрее открываться, но все равно тупит...

Код: Выделить всё

 >sysctl sysctl net.inet.ip.fw
net.inet.ip.fw.dyn_keepalive: 1
net.inet.ip.fw.dyn_short_lifetime: 5
net.inet.ip.fw.dyn_udp_lifetime: 10
net.inet.ip.fw.dyn_rst_lifetime: 1
net.inet.ip.fw.dyn_fin_lifetime: 1
net.inet.ip.fw.dyn_syn_lifetime: 20
net.inet.ip.fw.dyn_ack_lifetime: 300
net.inet.ip.fw.static_count: 72
net.inet.ip.fw.dyn_max: 4096
net.inet.ip.fw.dyn_count: 4002
net.inet.ip.fw.curr_dyn_buckets: 2048
net.inet.ip.fw.dyn_buckets: 2048
net.inet.ip.fw.tables_max: 128
net.inet.ip.fw.default_rule: 65535
net.inet.ip.fw.verbose_limit: 1000
net.inet.ip.fw.verbose: 1
net.inet.ip.fw.one_pass: 0
net.inet.ip.fw.autoinc_step: 100
net.inet.ip.fw.enable: 1

Что еще можно подтюнить?
И еще:
ifconfig не показывает интерфейса ipv6, но

Код: Выделить всё

netstat -rn
Internet6:
Destination                       Gateway                       Flags      Netif Expire
::1                               ::1                           UHL         lo0
fe80::%lo0/64                     fe80::1%lo0                   U           lo0
fe80::1%lo0                       link#6                        UHL         lo0
ff01:6::/32                       fe80::1%lo0                   UC          lo0
ff02::%lo0/32                     fe80::1%lo0                   UC          lo0

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[wel]

заметил еще такую штуку (em0 -> на которой vlan20+vlan61):

Код: Выделить всё

 >netstat -w 1 -I vlan20
            input       (vlan20)           output
   packets  errs      bytes    packets  errs      bytes colls
      4692     0    4336819        250     0     352000     0
      4833     0    4960034        280     0     366561     0
      5230     0    5082087         15     0      18570     0
      4734     0    4612411        264     2     374904     0

Код: Выделить всё

 >netstat -w 1 -I vlan61
            input       (vlan61)           output
   packets  errs      bytes    packets  errs      bytes colls
     15480     0    8489856      21189    72   16302543     0
     14913     0    8472000      20518    81   16162422     0
     14771     0    7799428      21261    15   15638074     0
     14603     0    7847992      21728    67   16356011     0
     15566     0    8854751      21590     0   16140264     0
     14856     0    8168606      21613    97   17354102     0
^C

Код: Выделить всё

 >netstat -w 1 -I em0 -d
            input          (em0)           output
   packets  errs      bytes    packets  errs      bytes colls drops
     39272     0   30373269      39531     0   29983127     0   164
     39584     0   30505817      39564     0   30166298     0   177
     39733     0   30238745      40060     0   29913573     0   185
     39364     0   30270192      39273     0   29970632     0   131
     39574     0   30380485      39781     0   29975870     0   111
     39432     0   30228397      39852     0   29980336     0   159
     39819     0   30348950      39595     0   29898038     0    86
     39174     0   30242402      39437     0   30059725     0   133
     38759     0   30190102      38830     0   29692472     0   230
^C

[hizel]

Код: Выделить всё

ipfw -d show | wc -l

[hm]

wel
А как вы изменили net.inet.ip.fw.curr_dyn_buckets ?

у меня он read only.

[Alex Keda]

через loader.conf, вероятно

[FiL]

wel
А как вы изменили net.inet.ip.fw.curr_dyn_buckets ?

у меня он read only.

а он его не менял. Он сам меняется. просто он очередной раз уперся в максимум (который автор, собственно, и менял и который нифига не read-only).
Я-бы еще поднял. Если надо больше, то надо больше. Что уж тут...

[Alex Keda]

Код: Выделить всё

srv8# sysctl net.inet.ip.fw.dyn_buckets=16384
net.inet.ip.fw.dyn_buckets: 1024 -> 16384
srv8#     

там другая переменная, вообще-то