mnemonic Опубликовано 6 октября, 2010 · Жалоба Добрый день! Есть шлюз в интернет на FreeBSD 8.0 с такой конфигурацией ЦПУ: Dual-Core CPU E5400 @ 2.70GHz RAM: 2Гб Сетевые карты Intel: em0 и em1 На сервере выполняется только NAT при помощью PF После определённого порога трафика ~30Мбит/с начинаются проблемы Сервер отсылает множественные ICMP host unreachable и очень много запросов не проходит. Загрузка процессора не более 15% last pid: 2580; load averages: 0.09, 0.13, 0.12 up 0+06:59:55 20:20:4290 processes: 3 running, 69 sleeping, 2 stopped, 16 waiting CPU 0: 0.0% user, 0.0% nice, 6.0% system, 0.7% interrupt, 93.3% idle CPU 1: 0.0% user, 0.0% nice, 10.2% system, 0.0% interrupt, 89.8% idle Mem: 13M Active, 9532K Inact, 42M Wired, 28K Cache, 13M Buf, 1929M Free Swap: 4043M Total, 4043M Free Ошибок нет netstat -w 1 input (Total) output packets errs bytes packets errs bytes colls 12651 0 9217710 12082 0 7385737 0 12364 0 8650579 11956 0 7353922 0 11503 0 7570837 11433 0 6468151 0 12466 0 8004013 12514 0 6903076 0 13487 0 8915098 13269 0 7075667 0 16080 0 11407782 15552 0 8695642 0 13978 0 9443704 13777 0 7834145 0 13820 0 9283090 13638 0 7603045 0 13770 0 9710003 13601 0 8076749 0 12274 0 8120815 12150 0 6988818 0 12216 0 8150411 11997 0 6886913 0 11833 0 8286757 11381 0 6646300 0 12714 0 9157233 12138 0 7506155 0 12575 0 9058388 12145 0 7543522 0 12906 0 8800927 12830 0 7774486 0 13840 0 8968598 13654 0 7412677 0 14653 0 9939452 14419 0 7840836 0 15218 0 10370137 14982 0 8230564 0 13604 0 8764642 13318 0 7016827 0 13686 0 9448199 13388 0 7674579 0 Подскажите где может быть проблема! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
XeonVs Опубликовано 6 октября, 2010 · Жалоба net.inet.icmp.icmplim выставить больше? А лучше уйти от PF. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 6 октября, 2010 (изменено) · Жалоба А че говорит pfctl -s memory и pfctl -s info на предмет State Table current entries ? Может банально не хватает ? А то сразу сменить-сменить... Увеличить set limit states И наверное неплохо бы слегка уменьшить set timeout, чтобы всякие tcpsyn не копились подолгу. Да, и как поможет net.inet.icmp.icmplim выставить больше? если проблема не в том, что ICMP от сервера не ходят? Изменено 6 октября, 2010 пользователем st_re Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Makariy Опубликовано 6 октября, 2010 · Жалоба А лучше уйти от PF.а скажите уважаемый чем PF NAT плох? и какой нат вы посоветуете использовать?у меня например 2 тазика динамически натят в пул из 100 белых адресов по 200 мегабит каждый и ничего. Ваш НАТ так умеет? ЗЫ: топикстартеру копать в сторону limit states Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
XeonVs Опубликовано 6 октября, 2010 · Жалоба А лучше уйти от PF.а скажите уважаемый чем PF NAT плох? и какой нат вы посоветуете использовать?у меня например 2 тазика динамически натят в пул из 100 белых адресов по 200 мегабит каждый и ничего. Ваш НАТ так умеет? ЗЫ: топикстартеру копать в сторону limit states Плох глобальными блокировками.полоса под гиг сейчас, ipfw nat с пулом /24 и уже его параллелизма не хватает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Makariy Опубликовано 6 октября, 2010 · Жалоба Плох глобальными блокировками.полоса под гиг сейчас, ipfw nat с пулом /24 и уже его параллелизма не хватает. а я на каждые 300 мегабит полосы отдельный тазик ставлю L2TP MPD+PF+NG_CAR .... и до гигабитной полосы ещё как до китая =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mnemonic Опубликовано 7 октября, 2010 (изменено) · Жалоба А че говорит pfctl -s memory и pfctl -s info на предмет State Table current entries ? Может банально не хватает ? А то сразу сменить-сменить... Увеличить set limit states И наверное неплохо бы слегка уменьшить set timeout, чтобы всякие tcpsyn не копились подолгу. Да, и как поможет net.inet.icmp.icmplim выставить больше? если проблема не в том, что ICMP от сервера не ходят? Спасибо что навели на путь истинный!Увеличение limit states решило проблему Спасибо! Изменено 7 октября, 2010 пользователем mnemonic Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...