forum.lissyara.su

Добавлено: **2008-12-09 17:52:05**

Всем привет.

Есть следующая ось:

uname -mrs
FreeBSD 7.0-RELEASE i386

Железо: Xeon 2.5x2 4 штуки. Сборочка от HP.

На машинке крутится MPD4 + Radius, DNS-сервер, MYSQL, pf используется для route-to в несколько внешних каналов, ipfw для pipe.

Текущий конфиг sysctl.conf

Код: Выделить всё

# grep -v "#" /etc/sysctl.conf

kern.polling.enable=0

net.inet.tcp.sendspace=51487488
net.inet.tcp.recvspace=51487488
net.inet.tcp.rfc1323=1
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
net.inet.ip.maxfragsperpacket=45
net.inet.tcp.log_in_vain=0
net.inet.icmp.icmplim=2000
kern.maxfilesperproc=104856
security.bsd.see_other_uids=0
security.bsd.see_other_gids=0
kern.maxfiles=65535
kern.ipc.maxsockbuf=67108864

Во время нагрузок (от 6 до 10 мегабит) почему-то происходит следующее:

Пробую пингать какой-нибудь хост внешнего мира и получаю сообщение ping: sendto: Operation not permitted
Кроме этой ошибки возникает и другая: ping: cannot resolve ya.ru: Host name lookup failure (то бишь днс отказывается резольвить имя).

В чём может быть проблема?

Добавлено: **2008-12-09 17:56:12**

Код: Выделить всё

ipfw show

Добавлено: **2008-12-09 17:57:10**

ipfw show в с тудию )

Добавлено: **2008-12-09 17:59:52**

Ребята, файрвол возвращает Permission denied, но никак не Operation not permitted

Всё-таки показать файрвол?

Добавлено: **2008-12-09 18:11:40**

qwe писал(а):Ребята, файрвол возвращает Permission denied, но никак не Operation not permitted

Всё-таки показать файрвол?

да да да не заметил ) быстрые ответы такие как глянул написал и не то бывает напишешь.

у тебя либо протокола нету либо на raw сокеты нету доступа

Добавлено: **2008-12-09 18:16:50**

warzoni писал(а):
qwe писал(а):Ребята, файрвол возвращает Permission denied, но никак не Operation not permitted

Всё-таки показать файрвол?
да да да не заметил ) быстрые ответы такие как глянул написал и не то бывает напишешь.

у тебя либо протокола нету либо на raw сокеты нету доступа

Какого протокола нет? И как к этим самым raw-сокетам предоставить доступ?

Добавлено: **2008-12-09 18:27:40**

qwe писал(а):
warzoni писал(а):
qwe писал(а):Ребята, файрвол возвращает Permission denied, но никак не Operation not permitted

Всё-таки показать файрвол?
да да да не заметил ) быстрые ответы такие как глянул написал и не то бывает напишешь.

у тебя либо протокола нету либо на raw сокеты нету доступа
Какого протокола нет? И как к этим самым raw-сокетам предоставить доступ?

так так так наверное всётаки думаю я за другое тежелов слупую думать я думаю что тебе переполняют буфер,и поэтому такая беда когда восходящий канал как ты писал там 10 мегабит,првоерьможет syn переполняют хз что то ещё можут раширить tcp буферы калупай в этом напровление .таблицы nat переполняютца что то в этмо роде монеторь сервак сматри буферы заполнение их раз сначала номрально а потом на восходящем тухнит сто пудов так.

Добавлено: **2008-12-09 19:48:51**

Ребята, ещё будут идеи?

Добавлено: **2008-12-09 20:25:12**

у тебя icmp заблокирован.....

покажи наконец:

Код: Выделить всё

ipfw show

Добавлено: **2008-12-09 20:35:34**

zingel писал(а):у тебя icmp заблокирован.....

покажи наконец:
Код: Выделить всё
ipfw show

Я отключал только что файрвол, это не дало эффекта.

Добавлено: **2008-12-09 20:48:46**

тебя не отключать просили.
просили показать.
========
если ты просишь чтобы подумали за тебя, дай уже пищщу для размышления.
иначе - думай сам изначально

Добавлено: **2008-12-09 20:52:14**

lissyara писал(а):тебя не отключать просили.
просили показать.
========
если ты просишь чтобы подумали за тебя, дай уже пищщу для размышления.
иначе - думай сам изначально

Хм, разве "Я отключал файрвол - тщетно" не является пищей для размышления?

По теме:
В netstat -w 1 проявляются input errors

Код: Выделить всё

 packets  errs      bytes    packets  errs      bytes colls
     10270     0    5627209      10461     0    6826239     0
      8884     0    5019231       9119     0    5885101     0
      9038     0    5056714       9269     0    6079698     0
      9202     0    5248510       9399     0    6207982     0
      9336     1    5558545       9690     0    6588114     0
      8887     0    5116858       9280     0    6210330     0
      9054     0    5225774       9451     0    6205569     0
      9639     3    5405455       9740     0    6227488     0
      9492     0    5392019       9944     0    6609071     0
      9441     1    5419836       9670     0    6452690     0
      9596     1    5677652      10013     0    6821192     0
      8966     0    5054575       9612     0    6381713     0
      9912     1    5683387      10219     0    6560503     0
      9824     1    5573331      10132     0    6673500     0
      9720     1    5515073       9895     0    6598709     0
      9334     2    5379904       9477     0    6388863     0
      9431     1    5556995      10045     0    6998825     0
      8940     0    5329143       9097     0    6264488     0
      9235     0    5308557       9426     0    6274674     0
      9848     1    5739686      10157     0    6894178     0
      8788     0    4980232       8956     0    5832829     0

Добавлено: **2008-12-09 21:16:09**

Что ты так скрываешь ipfw show?

Добавлено: **2008-12-10 0:08:29**

он же пишит что проблемма появляетца когда загружаетца канал свыше 10 мегабит тоесть тут не в Ipfw проблемма.

Добавлено: **2008-12-10 0:14:48**

warzoni писал(а):он же пишит что проблемма появляетца когда загружаетца канал свыше 10 мегабит тоесть тут не в Ipfw проблемма.

netstat -i

покажи

netstat -s -p tcp

это

ждёмс

Добавлено: **2008-12-10 1:52:03**

не хочешь, не показывай, гадать мы не будем.

Добавлено: **2008-12-10 9:26:58**

предлагаю закрыть тему, ввиду неадекватности тредстартера.
время лучше портартить на другие, где авторы адекватны.

Добавлено: **2008-12-10 9:58:09**

lissyara писал(а):предлагаю закрыть тему, ввиду неадекватности тредстартера.
время лучше портартить на другие, где авторы адекватны.

kill -9 и мозг жарить свой не будем!

Добавлено: **2008-12-10 18:26:04**

Разобрался. Сначала провёл оптимизацию, как предложено здесь: http://judge.kiev.ua/index.php?newsid=9 (кроме того, что вписывается в loader.conf)

Не помогло. Решил посмотреть в pfctl -si

Обнаружилось, что states близится к 10000. Поднял states до 20000

Код: Выделить всё

# grep limit /etc/pf.conf
set limit states 20000

Теперь заметил как states начинают расти и добираются до 19000. Во время роста проблемы не было.

Изучил pfctl -ss
Очень много states от попыток установки соединений. Решилось установкой на pass all опции:
pass all no state

Вопрос исчерпан, спасибо.

Добавлено: **2008-12-10 18:29:32**

qwe писал(а):Разобрался. Сначала провёл оптимизацию, как предложено здесь: http://judge.kiev.ua/index.php?newsid=9 (кроме того, что вписывается в loader.conf)

Не помогло. Решил посмотреть в pfctl -si

Обнаружилось, что states близится к 10000. Поднял states до 20000
# grep limit /etc/pf.conf
set limit states 20000

Теперь заметил как states начинают расти и добираются до 19000. Во время роста проблемы не было.

Изучил pfctl -ss
Очень много states от попыток установки соединений. Решилось установкой на pass all опции:
pass all no state

ага молодец токо вот сказать забыл ты за pf .

qwe писал(а): Вопрос исчерпан, спасибо.

Добавлено: **2008-12-10 18:41:04**

В самом первом сообщении говорил о нём.

Добавлено: **2008-12-11 0:02:40**

один фиг - конфига файрволла никто так и не увидел.
никакого

Добавлено: **2008-12-11 0:45:45**

lissyara писал(а):один фиг - конфига файрволла никто так и не увидел.
никакого

Вы продолжаете говорить о какой-либо адекватности? постскриптум в том, что меня тоже били

Добавлено: **2008-12-11 9:05:33**

сам шучу, сам смеюсь, это про Вас.

Добавлено: **2008-12-11 9:52:20**

qwe писал(а):
lissyara писал(а):один фиг - конфига файрволла никто так и не увидел.
никакого
Вы продолжаете говорить о какой-либо адекватности? постскриптум в том, что меня тоже били

а о чём с вами можно говорить?
если вы изначально хотели сами проблему решить - нефига было терзать общество.
если нет - показали бы файрволл.
ну где ваша адекватность?

forum.lissyara.su

ping: sendto: Operation not permitted на 7.0

ping: sendto: Operation not permitted на 7.0

Re: ping: sendto: Operation not permitted на 7.0

Re: ping: sendto: Operation not permitted на 7.0

Re: ping: sendto: Operation not permitted на 7.0

Re: ping: sendto: Operation not permitted на 7.0

Re: ping: sendto: Operation not permitted на 7.0

Re: ping: sendto: Operation not permitted на 7.0

Re: ping: sendto: Operation not permitted на 7.0

Re: ping: sendto: Operation not permitted на 7.0

Re: ping: sendto: Operation not permitted на 7.0

Re: ping: sendto: Operation not permitted на 7.0

Re: ping: sendto: Operation not permitted на 7.0

Re: ping: sendto: Operation not permitted на 7.0

Re: ping: sendto: Operation not permitted на 7.0

Re: ping: sendto: Operation not permitted на 7.0

Re: ping: sendto: Operation not permitted на 7.0

Re: ping: sendto: Operation not permitted на 7.0

Re: ping: sendto: Operation not permitted на 7.0

Re: ping: sendto: Operation not permitted на 7.0

Re: ping: sendto: Operation not permitted на 7.0

Re: ping: sendto: Operation not permitted на 7.0

Re: ping: sendto: Operation not permitted на 7.0

Re: ping: sendto: Operation not permitted на 7.0

Re: ping: sendto: Operation not permitted на 7.0

Re: ping: sendto: Operation not permitted на 7.0