forum.lissyara.su

Столкнулся недавно с траблой.
Имеется система - vpn гейт, откуда юзеры выходят инет посрудством pptp. ( IPFW NAT+MPD5 )
И недавно у людей начались жуткие тормоза в дневное и вечернее время.
Онлайн юзеров бывает в этот момент около 800, хотя канал не загружается.
На тачке 2 ксеона, 8 гиг озу.

Проверено, что тормоза начинаются, когда процесс swi1:net начинает съедать 40 процентов процессора.

И куда копать?

Спасибо.

в сторону man polling

swi1:net это ipfw. оптимизируйте правила.

похоже, что проблема в ipfw.

на серваке в acl нат прописан первым в списке правил. Когда же я попытался просто переместить его в конец, то он не работал, более того счетчики на нате работали, но пакеты не шли.

ща вот думаю перенести нат на другую тачку, и поднять его при помощи pf.
кто как думает?

спасибо.

думаю надо поведать нам что за нат и почитать man ipfw о порядке прохождения пакетов и как работает kernel nat или divert сокеты

Переводить на pf однозначно не стоит - в интернете я несколько раз встречал результаты разнообразных тестов, которые, которые были очень сильно не в пользу pf на многопроцессорных машинах, ipfw в этом плане лучше.
divert socket'ы тут тоже, думаю, не при чем - nat-то ядерный.
А вот посмотреть конфигурацию файрвола, пускай и без конкретных айпишников, просто схему построения и порядок правил, было бы очень желательно - а то лечение по фотографии получается.

дело было в схеме.
выгружалось много правил, сейчас же правила шейпинга работатют на MPD5, соответственно правил стало поменьше.
А правила разрешающие хостам выход в сеть вынесли в таблицу. И нагрузка спала в разы.

Спасибо всем помогавшим

Вдогонку, столкнулся с этой проблемой. Дело в ipfw, причем даже не в количестве правил у меня было.
Просто до правила divert были размещены 3 правила fwd, чтобы не натить траффик до nas-ов...
swi1:net отьедал 80-90% одного из ядер и общие сетевые тормоза налицо. Простая замена fwd на allow (при one pass)
привела swi1:net в ничтожно малую величину 3%. Траффик при этом за 100Мбит тормозов нет...