ping: sendto: Operation not permitted на 7.0

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
qwe
рядовой
Сообщения: 35
Зарегистрирован: 2008-07-29 10:40:42
Откуда: Симферополь
Контактная информация:

ping: sendto: Operation not permitted на 7.0

Непрочитанное сообщение qwe » 2008-12-09 17:52:05

Всем привет.

Есть следующая ось:
uname -mrs
FreeBSD 7.0-RELEASE i386
Железо: Xeon 2.5x2 4 штуки. Сборочка от HP.

На машинке крутится MPD4 + Radius, DNS-сервер, MYSQL, pf используется для route-to в несколько внешних каналов, ipfw для pipe.

Текущий конфиг sysctl.conf

Код: Выделить всё

# grep -v "#" /etc/sysctl.conf

kern.polling.enable=0

net.inet.tcp.sendspace=51487488
net.inet.tcp.recvspace=51487488
net.inet.tcp.rfc1323=1
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
net.inet.ip.maxfragsperpacket=45
net.inet.tcp.log_in_vain=0
net.inet.icmp.icmplim=2000
kern.maxfilesperproc=104856
security.bsd.see_other_uids=0
security.bsd.see_other_gids=0
kern.maxfiles=65535
kern.ipc.maxsockbuf=67108864

Во время нагрузок (от 6 до 10 мегабит) почему-то происходит следующее:

Пробую пингать какой-нибудь хост внешнего мира и получаю сообщение ping: sendto: Operation not permitted
Кроме этой ошибки возникает и другая: ping: cannot resolve ya.ru: Host name lookup failure (то бишь днс отказывается резольвить имя).

В чём может быть проблема?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: ping: sendto: Operation not permitted на 7.0

Непрочитанное сообщение zingel » 2008-12-09 17:56:12

Код: Выделить всё

ipfw show
Z301171463546 - можно пожертвовать мне денег

warzoni
сержант
Сообщения: 186
Зарегистрирован: 2008-07-04 17:17:59
Откуда: Ukraine,Kiev
Контактная информация:

Re: ping: sendto: Operation not permitted на 7.0

Непрочитанное сообщение warzoni » 2008-12-09 17:57:10

ipfw show в с тудию )

qwe
рядовой
Сообщения: 35
Зарегистрирован: 2008-07-29 10:40:42
Откуда: Симферополь
Контактная информация:

Re: ping: sendto: Operation not permitted на 7.0

Непрочитанное сообщение qwe » 2008-12-09 17:59:52

Ребята, файрвол возвращает Permission denied, но никак не Operation not permitted ;)

Всё-таки показать файрвол?

warzoni
сержант
Сообщения: 186
Зарегистрирован: 2008-07-04 17:17:59
Откуда: Ukraine,Kiev
Контактная информация:

Re: ping: sendto: Operation not permitted на 7.0

Непрочитанное сообщение warzoni » 2008-12-09 18:11:40

qwe писал(а):Ребята, файрвол возвращает Permission denied, но никак не Operation not permitted ;)

Всё-таки показать файрвол?
да да да не заметил ) быстрые ответы такие как глянул написал и не то бывает напишешь.


у тебя либо протокола нету либо на raw сокеты нету доступа

qwe
рядовой
Сообщения: 35
Зарегистрирован: 2008-07-29 10:40:42
Откуда: Симферополь
Контактная информация:

Re: ping: sendto: Operation not permitted на 7.0

Непрочитанное сообщение qwe » 2008-12-09 18:16:50

warzoni писал(а):
qwe писал(а):Ребята, файрвол возвращает Permission denied, но никак не Operation not permitted ;)

Всё-таки показать файрвол?
да да да не заметил ) быстрые ответы такие как глянул написал и не то бывает напишешь.


у тебя либо протокола нету либо на raw сокеты нету доступа
Какого протокола нет? И как к этим самым raw-сокетам предоставить доступ?

warzoni
сержант
Сообщения: 186
Зарегистрирован: 2008-07-04 17:17:59
Откуда: Ukraine,Kiev
Контактная информация:

Re: ping: sendto: Operation not permitted на 7.0

Непрочитанное сообщение warzoni » 2008-12-09 18:27:40

qwe писал(а):
warzoni писал(а):
qwe писал(а):Ребята, файрвол возвращает Permission denied, но никак не Operation not permitted ;)

Всё-таки показать файрвол?
да да да не заметил ) быстрые ответы такие как глянул написал и не то бывает напишешь.


у тебя либо протокола нету либо на raw сокеты нету доступа
Какого протокола нет? И как к этим самым raw-сокетам предоставить доступ?
так так так наверное всётаки думаю я за другое тежелов слупую думать я думаю что тебе переполняют буфер,и поэтому такая беда когда восходящий канал как ты писал там 10 мегабит,првоерьможет syn переполняют хз что то ещё можут раширить tcp буферы калупай в этом напровление .таблицы nat переполняютца что то в этмо роде монеторь сервак сматри буферы заполнение их раз сначала номрально а потом на восходящем тухнит сто пудов так.

qwe
рядовой
Сообщения: 35
Зарегистрирован: 2008-07-29 10:40:42
Откуда: Симферополь
Контактная информация:

Re: ping: sendto: Operation not permitted на 7.0

Непрочитанное сообщение qwe » 2008-12-09 19:48:51

Ребята, ещё будут идеи?

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: ping: sendto: Operation not permitted на 7.0

Непрочитанное сообщение zingel » 2008-12-09 20:25:12

у тебя icmp заблокирован.....

покажи наконец:

Код: Выделить всё

ipfw show
Z301171463546 - можно пожертвовать мне денег

qwe
рядовой
Сообщения: 35
Зарегистрирован: 2008-07-29 10:40:42
Откуда: Симферополь
Контактная информация:

Re: ping: sendto: Operation not permitted на 7.0

Непрочитанное сообщение qwe » 2008-12-09 20:35:34

zingel писал(а):у тебя icmp заблокирован.....

покажи наконец:

Код: Выделить всё

ipfw show
Я отключал только что файрвол, это не дало эффекта.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35118
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ping: sendto: Operation not permitted на 7.0

Непрочитанное сообщение Alex Keda » 2008-12-09 20:48:46

тебя не отключать просили.
просили показать.
========
если ты просишь чтобы подумали за тебя, дай уже пищщу для размышления.
иначе - думай сам изначально
Убей их всех! Бог потом рассортирует...

qwe
рядовой
Сообщения: 35
Зарегистрирован: 2008-07-29 10:40:42
Откуда: Симферополь
Контактная информация:

Re: ping: sendto: Operation not permitted на 7.0

Непрочитанное сообщение qwe » 2008-12-09 20:52:14

lissyara писал(а):тебя не отключать просили.
просили показать.
========
если ты просишь чтобы подумали за тебя, дай уже пищщу для размышления.
иначе - думай сам изначально
Хм, разве "Я отключал файрвол - тщетно" не является пищей для размышления?

По теме:
В netstat -w 1 проявляются input errors

Код: Выделить всё

 packets  errs      bytes    packets  errs      bytes colls
     10270     0    5627209      10461     0    6826239     0
      8884     0    5019231       9119     0    5885101     0
      9038     0    5056714       9269     0    6079698     0
      9202     0    5248510       9399     0    6207982     0
      9336     1    5558545       9690     0    6588114     0
      8887     0    5116858       9280     0    6210330     0
      9054     0    5225774       9451     0    6205569     0
      9639     3    5405455       9740     0    6227488     0
      9492     0    5392019       9944     0    6609071     0
      9441     1    5419836       9670     0    6452690     0
      9596     1    5677652      10013     0    6821192     0
      8966     0    5054575       9612     0    6381713     0
      9912     1    5683387      10219     0    6560503     0
      9824     1    5573331      10132     0    6673500     0
      9720     1    5515073       9895     0    6598709     0
      9334     2    5379904       9477     0    6388863     0
      9431     1    5556995      10045     0    6998825     0
      8940     0    5329143       9097     0    6264488     0
      9235     0    5308557       9426     0    6274674     0
      9848     1    5739686      10157     0    6894178     0
      8788     0    4980232       8956     0    5832829     0

kmb
лейтенант
Сообщения: 680
Зарегистрирован: 2007-02-20 8:30:03
Контактная информация:

Re: ping: sendto: Operation not permitted на 7.0

Непрочитанное сообщение kmb » 2008-12-09 21:16:09

Что ты так скрываешь ipfw show? :lol:
truth is out there...

warzoni
сержант
Сообщения: 186
Зарегистрирован: 2008-07-04 17:17:59
Откуда: Ukraine,Kiev
Контактная информация:

Re: ping: sendto: Operation not permitted на 7.0

Непрочитанное сообщение warzoni » 2008-12-10 0:08:29

он же пишит что проблемма появляетца когда загружаетца канал свыше 10 мегабит тоесть тут не в Ipfw проблемма.

warzoni
сержант
Сообщения: 186
Зарегистрирован: 2008-07-04 17:17:59
Откуда: Ukraine,Kiev
Контактная информация:

Re: ping: sendto: Operation not permitted на 7.0

Непрочитанное сообщение warzoni » 2008-12-10 0:14:48

warzoni писал(а):он же пишит что проблемма появляетца когда загружаетца канал свыше 10 мегабит тоесть тут не в Ipfw проблемма.
netstat -i

покажи

netstat -s -p tcp

это

ждёмс

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: ping: sendto: Operation not permitted на 7.0

Непрочитанное сообщение zingel » 2008-12-10 1:52:03

не хочешь, не показывай, гадать мы не будем.
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35118
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ping: sendto: Operation not permitted на 7.0

Непрочитанное сообщение Alex Keda » 2008-12-10 9:26:58

предлагаю закрыть тему, ввиду неадекватности тредстартера.
время лучше портартить на другие, где авторы адекватны.
Убей их всех! Бог потом рассортирует...

warzoni
сержант
Сообщения: 186
Зарегистрирован: 2008-07-04 17:17:59
Откуда: Ukraine,Kiev
Контактная информация:

Re: ping: sendto: Operation not permitted на 7.0

Непрочитанное сообщение warzoni » 2008-12-10 9:58:09

lissyara писал(а):предлагаю закрыть тему, ввиду неадекватности тредстартера.
время лучше портартить на другие, где авторы адекватны.

kill -9 и мозг жарить свой не будем!

qwe
рядовой
Сообщения: 35
Зарегистрирован: 2008-07-29 10:40:42
Откуда: Симферополь
Контактная информация:

Re: ping: sendto: Operation not permitted на 7.0

Непрочитанное сообщение qwe » 2008-12-10 18:26:04

Разобрался. Сначала провёл оптимизацию, как предложено здесь: http://judge.kiev.ua/index.php?newsid=9 (кроме того, что вписывается в loader.conf)

Не помогло. Решил посмотреть в pfctl -si

Обнаружилось, что states близится к 10000. Поднял states до 20000

Код: Выделить всё

# grep limit /etc/pf.conf
set limit states 20000
Теперь заметил как states начинают расти и добираются до 19000. Во время роста проблемы не было.

Изучил pfctl -ss
Очень много states от попыток установки соединений. Решилось установкой на pass all опции:
pass all no state


Вопрос исчерпан, спасибо.

warzoni
сержант
Сообщения: 186
Зарегистрирован: 2008-07-04 17:17:59
Откуда: Ukraine,Kiev
Контактная информация:

Re: ping: sendto: Operation not permitted на 7.0

Непрочитанное сообщение warzoni » 2008-12-10 18:29:32

qwe писал(а):Разобрался. Сначала провёл оптимизацию, как предложено здесь: http://judge.kiev.ua/index.php?newsid=9 (кроме того, что вписывается в loader.conf)

Не помогло. Решил посмотреть в pfctl -si

Обнаружилось, что states близится к 10000. Поднял states до 20000
# grep limit /etc/pf.conf
set limit states 20000

Теперь заметил как states начинают расти и добираются до 19000. Во время роста проблемы не было.

Изучил pfctl -ss
Очень много states от попыток установки соединений. Решилось установкой на pass all опции:
pass all no state
ага молодец токо вот сказать забыл ты за pf .
qwe писал(а): Вопрос исчерпан, спасибо.

qwe
рядовой
Сообщения: 35
Зарегистрирован: 2008-07-29 10:40:42
Откуда: Симферополь
Контактная информация:

Re: ping: sendto: Operation not permitted на 7.0

Непрочитанное сообщение qwe » 2008-12-10 18:41:04

В самом первом сообщении говорил о нём.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35118
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ping: sendto: Operation not permitted на 7.0

Непрочитанное сообщение Alex Keda » 2008-12-11 0:02:40

один фиг - конфига файрволла никто так и не увидел.
никакого =)
Убей их всех! Бог потом рассортирует...

qwe
рядовой
Сообщения: 35
Зарегистрирован: 2008-07-29 10:40:42
Откуда: Симферополь
Контактная информация:

Re: ping: sendto: Operation not permitted на 7.0

Непрочитанное сообщение qwe » 2008-12-11 0:45:45

lissyara писал(а):один фиг - конфига файрволла никто так и не увидел.
никакого =)
Вы продолжаете говорить о какой-либо адекватности? постскриптум в том, что меня тоже били :)

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: ping: sendto: Operation not permitted на 7.0

Непрочитанное сообщение zingel » 2008-12-11 9:05:33

сам шучу, сам смеюсь, это про Вас.
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35118
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ping: sendto: Operation not permitted на 7.0

Непрочитанное сообщение Alex Keda » 2008-12-11 9:52:20

qwe писал(а):
lissyara писал(а):один фиг - конфига файрволла никто так и не увидел.
никакого =)
Вы продолжаете говорить о какой-либо адекватности? постскриптум в том, что меня тоже били :)
а о чём с вами можно говорить?
если вы изначально хотели сами проблему решить - нефига было терзать общество.
если нет - показали бы файрволл.
ну где ваша адекватность? =)
Убей их всех! Бог потом рассортирует...