Статья на opennet про паники при манипуляциях с dummynet

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Статья на opennet про паники при манипуляциях с dummynet

Непрочитанное сообщение terminus » 2009-02-09 14:56:16

http://www.opennet.ru/base/sys/freebsd_ ... n.txt.html
Решение:

Никогда не удалять правила фаервола, которые отправляют пакеты в DUMMYNET.
Создать при старте или при необходимости, определить пайпы или
queue и не торгать их больше. Надо запретить пакеты - или deny раньше по
фаерволу или дать пользователю пару бит в сек. Надо отменить шейпинг -
говорим "bw 0" или сказать skipto. Да, есть мнение, что наличее ненужных
pipe (так как скорость на них не лимитируется) только уменьшает
производительность (занимают память и dummynet с частотой Hz (из
параметров ядра) их обходит), но лучше так, чем kernel panic.

После замены логики - сервер без перезагрузок более недели.

P.S. Не пробывали только менять правила фаэрвола через сеты (ipfw set
см. man ipfw) - быть может там другая ситуация
Очень позновательно - я так просветлился по поводу ipfw в очередной раз :smile:
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Статья на opennet про паники при манипуляциях с dummynet

Непрочитанное сообщение hizel » 2009-02-09 16:24:54

человек не разобрался полностью и накатал статью, фиерия :fool:
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Статья на opennet про паники при манипуляциях с dummynet

Непрочитанное сообщение terminus » 2009-02-09 18:35:49

Ценность заметки - описание грабелек ;-)

Интересно он накатает потом PR или нет...
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Andy
ст. лейтенант
Сообщения: 1117
Зарегистрирован: 2007-03-04 7:48:58
Откуда: Mytischi

Re: Статья на opennet про паники при манипуляциях с dummynet

Непрочитанное сообщение Andy » 2009-02-09 19:52:49

terminus писал(а):Интересно он накатает потом PR или нет...
Я думаю хер забьет. Потюкает кого-нибудь в рассылке, будет послан, а потом может и пофиксят.
Jul 16 19:37:15 freebsd sshd[4152]: Invalid user idiot from 210.75.200.104

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35271
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Статья на opennet про паники при манипуляциях с dummynet

Непрочитанное сообщение Alex Keda » 2009-02-09 21:44:41

а почему у меня таких багов не было?
Я чё-то неправильно делал?
Убей их всех! Бог потом рассортирует...

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Статья на opennet про паники при манипуляциях с dummynet

Непрочитанное сообщение hizel » 2009-02-09 22:30:29

у мя тоже видимо лапы не из того места растут :(
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Статья на opennet про паники при манипуляциях с dummynet

Непрочитанное сообщение terminus » 2009-02-10 10:46:17

Хз что там у него не так, но вот он сетует, что это стало получаться после перехода на 100 мбит соединение, когда оно забито под потолок...

Энивей - предупрежден, значит вооружен. Теперь хотябы + 0.5 к экспириенсу, и если случится что-то похожее, то будет что вспомнить.
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Статья на opennet про паники при манипуляциях с dummynet

Непрочитанное сообщение hizel » 2009-02-10 10:53:21

7.1 уже кстати релиз ;)
io_fast что то хвалят :/
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35271
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Статья на opennet про паники при манипуляциях с dummynet

Непрочитанное сообщение Alex Keda » 2009-02-10 22:35:15

сходил таки по линку и почитал чё обсуждаем =))
у автора явный проблемы с русским, а в последнем сообщении он юзал фрю 6.5 =(
вобщем - ф топку.
Убей их всех! Бог потом рассортирует...

warzon
проходил мимо

Re: Статья на opennet про паники при манипуляциях с dummynet

Непрочитанное сообщение warzon » 2009-02-11 4:40:43

Код: Выделить всё

internet# ipfw show
00001    850   322724 allow ip from any to 10.10.10.100
01042  80678  6069748 queue 244 ip from 192.168.1.5 to any out via tun0
01043  85500 32934276 queue 243 ip from any to 192.168.1.5 in via tun0
01052    593   133398 queue 254 ip from 192.168.1.10 to any out via tun0
01053    638   473388 queue 253 ip from any to 192.168.1.10 in via tun0
02041  85885  6540468 allow ip from 192.168.1.5 to any
02042  92654 34268069 allow ip from any to 192.168.1.5
02051    917   157215 allow ip from 192.168.1.10 to any
02052    947   559343 allow ip from any to 192.168.1.10
50000     63    11644 allow udp from any to any dst-port 5555 via ed0
50100     68     4082 allow tcp from any to any dst-port 53
50200     40     3829 allow tcp from any 53 to any
50300   7107   511792 allow udp from any to any dst-port 53
50400   6817  1339328 allow udp from any 53 to any
50500      0        0 allow tcp from any to any dst-port 20,21 via ed0
50600      0        0 allow tcp from any 20,21 to any via ed0
50700    271    20724 allow tcp from any to any dst-port 22
50800    231    44556 allow tcp from any 22 to any
50900    165    17628 deny ip from any to any not verrevpath in
51000     10     7135 deny ip from any to any frag
51100     20     1120 deny ip from any to 10.0.0.0/8 via tun0
51200      0        0 deny ip from any to 172.16.0.0/12 via tun0
51300   8903   429076 deny ip from any to 192.168.0.0/16 via tun0
51400      0        0 deny ip from 0.0.0.0/8 to any via tun0
51500      0        0 deny ip from any to 169.254.0.0/16 via tun0
51600      0        0 deny ip from any to 192.0.2.0/24 via tun0
51700      0        0 deny ip from any to 224.0.0.0/4 via tun0
51800      0        0 deny ip from any to 240.0.0.0/4 via tun0
51900      0        0 deny ip from any to 62.149.17.70 via tun0
65535 130250 14214050 allow ip from any to any
internet# ipfw -q add 1 deny all from any to trident.com.ua via tun0
internet# ipfw -q add 1 deny all from any to 212.72.38.0/24 via tun0
internet# ipfw -q add 1 deny all from any to 77.232.67.0/24 via tun0
internet# ipfw -q add 1 deny all from any to 77.232.67.0/24 via tun0
internet# fg
mc

internet# ifpw show
ifpw: Command not found.
internet# ipfw show
00001    870   325984 allow ip from any to 10.10.10.100
00001      9      468 deny ip from any to 62.149.17.70 via tun0
00001      0        0 deny ip from any to 212.72.38.0/24 via tun0
00001      6      312 deny ip from any to 77.232.67.0/24 via tun0
01042  82855  6212098 queue 244 ip from 192.168.1.5 to any out via tun0
01043  87804 33603325 queue 243 ip from any to 192.168.1.5 in via tun0
01052   1489   321245 queue 254 ip from 192.168.1.10 to any out via tun0
01053   1505   926848 queue 253 ip from any to 192.168.1.10 in via tun0
02041  88245  6699644 allow ip from 192.168.1.5 to any
02042  95139 34972269 allow ip from any to 192.168.1.5
02051   2434   394197 allow ip from 192.168.1.10 to any
02052   2365  1123747 allow ip from any to 192.168.1.10
50000     63    11644 allow udp from any to any dst-port 5555 via ed0
50100     68     4082 allow tcp from any to any dst-port 53
50200     40     3829 allow tcp from any 53 to any
50300   7339   529291 allow udp from any to any dst-port 53
50400   7026  1380857 allow udp from any 53 to any
50500      0        0 allow tcp from any to any dst-port 20,21 via ed0
50600      0        0 allow tcp from any 20,21 to any via ed0
50700    271    20724 allow tcp from any to any dst-port 22
50800    231    44556 allow tcp from any 22 to any
50900    165    17628 deny ip from any to any not verrevpath in
51000     10     7135 deny ip from any to any frag
51100     20     1120 deny ip from any to 10.0.0.0/8 via tun0
51200      0        0 deny ip from any to 172.16.0.0/12 via tun0
51300   8903   429076 deny ip from any to 192.168.0.0/16 via tun0
51400      0        0 deny ip from 0.0.0.0/8 to any via tun0
51500      0        0 deny ip from any to 169.254.0.0/16 via tun0
51600      0        0 deny ip from any to 192.0.2.0/24 via tun0
51700      0        0 deny ip from any to 224.0.0.0/4 via tun0
51800      0        0 deny ip from any to 240.0.0.0/4 via tun0
51900      0        0 deny ip from any to 62.149.17.70 via tun0
65535 130542 14241205 allow ip from any to any
internet# ipfw pipe show
00152: 510.000 Kbit/s    0 ms   20 sl. 0 queues (1 buckets) droptail
00141: 200.000 Kbit/s    0 ms    5 sl. 0 queues (1 buckets) droptail
00142: 100.000 Kbit/s    0 ms    5 sl. 0 queues (1 buckets) droptail
00151:   1.000 Mbit/s    0 ms   20 sl. 0 queues (1 buckets) droptail
q00254: weight 80 pipe 152   50 sl. 1 queues (1 buckets) droptail
    mask: 0x00 0x00000000/0x0000 -> 0x00000000/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
  0 tcp     192.168.1.10/44336    92.192.71.83/2676  1489   321245  0    0   0
q00253: weight 80 pipe 151   50 sl. 1 queues (1 buckets) droptail
    mask: 0x00 0x00000000/0x0000 -> 0x00000000/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
  0 tcp     92.192.71.83/2676     192.168.1.10/44336 1505   926848  0    0   0
q00244: weight 50 pipe 142   50 sl. 1 queues (1 buckets) droptail
    mask: 0x00 0x00000000/0x0000 -> 0x00000000/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
  0 tcp      192.168.1.5/4823     92.63.96.176/80    82914  6221823  0    0   0
q00243: weight 50 pipe 141   50 sl. 1 queues (1 buckets) droptail
    mask: 0x00 0x00000000/0x0000 -> 0x00000000/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
  0 tcp     92.63.96.176/80        192.168.1.5/4823  87881 33655197  0    0  55

Код: Выделить всё

FreeBSD internet.GW 7.1-RELEASE FreeBSD 7.1-RELEASE #0: Thu Feb  5 05:07:23 UTC 2009    
 root@internet.GW:/usr/obj/usr/src/sys/warzoni  i386
)) всё пашет так это цеветочки на одном 50 онлайн *)
Последний раз редактировалось Alex Keda 2009-02-11 19:15:18, всего редактировалось 1 раз.
Причина: Товарисчи, юзайте кнопочку [code], цените чужое время....

warzon
проходил мимо

Re: Статья на opennet про паники при манипуляциях с dummynet

Непрочитанное сообщение warzon » 2009-02-11 4:42:22

прошу извенить меня, не заметил прокрутки......можете удалить в принципе.нестрашно :smile: