Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » UNIX » Общие вопросы по FreeBSD

Модерирует : ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110

Открыть новую тему     Написать ответ в эту тему

articlebot



Administrator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

FreeBSD
 

 
Господа! Общие вопросы по FreeBSD - это не помойка для всех подряд вопросов по данной ОС. Здесь можно задать вопрос, ради которого открывать отдельную тему не имеет смысла, то есть когда вопрос очень простой.
Если же вопрос касается настроек, конфигурированиях и т.д. и т.п. - следует открывать отдельные темы (а сначала воспользоваться фильтром тут и тут).

Официальные ресурсы по FreeBSD

FreeBSD
Офицальное руководство пользователя FreeBSD
Официальные книги  
FTP FreeBSD Fundation
Официальный форум FreeBSD
Полезные ссылки по FreeBSD

FreshPorts - уязвимости, обновления и другая информация по портам
Daemoniada, или За свободный десктоп - ОС FreeBSD, ее устройство и использование в мирных (то есть настольных) целях.  
bsd.opennet.ru - мини-портал информация по FreeBSD и OpenBSD на opennet.ru
Часто Задаваемые Вопросы по FreeBSD 2.X, 3.X и 4.X  - Большой ФАК по FreeBSD  
An Illustrated Guide To Installing FreeBSD - Иллюстрированное Руководство по Установке FreeBSD
news.gamma.ru  
fido7.ru.unix.bsd  
http://pascal.tsu.ru/
http://www.freebsddiary.org/ (англ.)
http://www.onlamp.com/bsd/ (англ.)
http://www.freebsdhowtos.com/ - огромное количество инструкций "как сделать" для операционной системы FreeBSD (англ)
http://flag.blackened.net/freebsd/index.html - инструкции по FreeBSD для ленивых  (англ)  
http://www.lissyara.su/?id=1007 Очень достойный ресурс по FreeBSD (Рус)
http://live.daemony.org/doc/ Ещё один достойный ресурс по FreeBSD (Рус)
 
Также обратите внимание на тему FreeBSD FAQ (Unix FreeBSD FAQ)
 
http://www.citytel.ru/minibsd/minibsd.html - миниатюрная FreeBSD
Поможем проекту *BSD
 

 
Предыдущая часть темы
 

Всего записей: 347 | Зарегистр. 25-05-2001 | Отправлено: 05:58 03-02-2009 | Исправлено: cchameleone, 18:17 01-09-2017
tsypkin



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gryu
Получается работал ядерный nat и natd что-ли...

Всего записей: 245 | Зарегистр. 23-07-2009 | Отправлено: 20:26 21-10-2013
gryu



дикий гусь
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
tsypkin
Приехал домой.
Тут у меня сервак  стоит ... тоже с 9-й и собранным ядром как и "там"
Исключение одно. Не установлен DHCP.  
Так вот. Фифекта жрущего НАТа нет.  
Я лаптоп подключил за ним и радио включил.  
ну и поразвлекался с задачам.

нет. всё же тут совсем не то.  
 
Добавлено:
goletsa
Цитата:
Что помогло? Прибить divert?  

Внесение первого правила  
ipfw add 2 allow ip from me to any  
Снизило загрузку NAT до 10 %
Внесение второго правила  
ipfw add 2 allow ip from any to me  
Снизило загрузку NAT до 0%
 
Диверт не удалял.  
 
Короче буду  
1. копать правила ipfw
2. пересобирать ядро по новому принципу.
и смотреть.

Всего записей: 12952 | Зарегистр. 15-03-2006 | Отправлено: 23:04 21-10-2013 | Исправлено: gryu, 23:51 21-10-2013
tsypkin



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Внесение первого правила  
ipfw add 2 allow ip from me to any  
Снизило загрузку NAT до 10 %  
Внесение второго правила  
ipfw add 2 allow ip from any to me  
Снизило загрузку NAT до 0%  

 
Я что-то не увидел в последнем ipfw show правила divert

Всего записей: 245 | Зарегистр. 23-07-2009 | Отправлено: 00:31 22-10-2013
gryu



дикий гусь
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Это было две разных попытки.
Первый раз - Я применил все правила .....
По отдельности не проверял.

Тогда же был и результат ipfw show  
И второй раз когда приехал домой и перегрузив сервер взялся за более подробные исследования.  
Во второй раз только два первых правила.  
Диверт уже не удалял.
 
 
 
Добавлено:
И ещё.
Подсунул свой старый rc.firewall  
Ну что, похоже так же "фифект NAT-а" тоже исчез.
Загрузка ~3% при потоковой перекачки по FTP

Всего записей: 12952 | Зарегистр. 15-03-2006 | Отправлено: 00:44 22-10-2013 | Исправлено: gryu, 00:49 22-10-2013
tsypkin



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ну еще можно 3-им
allow ip from any to any via lo0

Всего записей: 245 | Зарегистр. 23-07-2009 | Отправлено: 00:52 22-10-2013
gryu



дикий гусь
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вот результват со "старым проверенным" rc.firewall
Подробнее...
 
Вообще говоря это не совсем рабочий. Это стандартная болванка.  
Потом допиливается по месту.  
 
Добавлено:
А два продряд  
04100     75      6830 deny ip from any to any
65535     10       816 deny ip from any to any  
Это потому что в rc.firewall у меня принудительно  прописано это правило.  
Просто иногда ПОЧЕМУ-ТО если не прописать у меня было что его небыло. Хотя оно ДОЛЖНО автоматом ставится. (хотя это "иногда" вообще говоря относится к уже забытым временам. Но так и кочует в болванке....)
 
P.S.
Всё. Перевёл фаервол в режим симпл. Работает. "эффект НАТ" пока не проявляется.  
..... Мда. Это получается что разрабы что то такое левое в дефолтном rc.firewall написали...

Всего записей: 12952 | Зарегистр. 15-03-2006 | Отправлено: 00:53 22-10-2013 | Исправлено: gryu, 01:53 22-10-2013
goletsa



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gryu
Неа, просто у вас весь трафик с внешнего интерфейса заворачивался в natd.
Это плохое решение
 
Вообще попробуйте отказаться от natd в пользу pfnat, производительность должна вас порадовать.

Всего записей: 5776 | Зарегистр. 21-06-2005 | Отправлено: 04:22 22-10-2013
res2001



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
Вообще попробуйте отказаться от natd в пользу pfnat

или в пользу ядерного нат - изменений будет минимум, не надо поднимать еще один пакетный фильтр, производительность, думаю, не хуже pfnat.
 
Добавлено:
Вот у меня вопрос на засыпку!
Сейчас тема не актуальна, но периодически появляется и толком ее решить не могу.
 
После пересборки мира при обновлении и последующей пересборки установленных портов довольно часто при старте некоторых сервисов возникает "segmetntation fault".
Последний раз это были bind и sshd, помогла только установка этих сервисов из портов и отключение их в ядре.
Так же есть web сервак с apache2+php, так вот php вообще валится в segmentation fault еще на этапе сборки/пересборки (иногда ошибка возникает при сборке самого php иногда php-extantion). И вот это я уже никак не смог победить - пока при возникновении этой беды приходится переустанавливать фряху полностью.
 
Рыл интернет на эту тему, похоже, что ошибка возникает, когда в системе остаются старые библиотеки от предыдущих версий ОС или пакетов. Но я уже проверял все каталоги с библиотечными и исполняемыми файлами - не находил в них старых файлов, все с датой сборки ядра/мира/пакета.
Так же рекомендуют в этом случае исследовать core dump сбойнувшего процесса, но что-то не нашел толковой инструкции как это делать. Да и в случае с php даже не ясно какой именно процесс падает, т.к. make запускает массу всего, а по тексту ошибки сделать вывод не возможно.
 
Хотел бы узнать у народа кто как выходит из положения? Надоело уже веб сервак каждый год переставлять с нуля.

Всего записей: 2580 | Зарегистр. 11-04-2003 | Отправлено: 09:31 22-10-2013
gryu



дикий гусь
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
res2001
Гм.  
Я обновляюсь бинарным апдейтом.  
Т.е.  
# freebsd-update upgrade -r <нужная версия ОС>
# freebsd-update install
У меня редко что не сходится.
Бывает конечно, но не часто.
Конфиги да. Приводить в норму потом приходится.  
Как я уже упоминал, там при апдейте vi используют....  
Поэтому по минимуму там, а потом вручную через ee.  
(кстати ee потому что через Putty работаю и PuTTy+ee это вообще шикарно. Буфер как в виндах.....)
 
Мдя. Только вот что ещё.  
Я между ветками не мигрирую.  
Т.е. 7.0 -> 7.1 или  7.2 -> 7.4  
Но не 7.* -> 8.*  
Хотя можно и так. На тестовом серваке я так делал.  
 
P.S.
Ядро перед апдейтом возвращаю GENERIC.  
Потом пересобираю.  
 
Добавлено:
goletsa

Цитата:
Неа, просто у вас весь трафик с внешнего интерфейса заворачивался в natd.
Это плохое решение  
Про то что всё через НАТ я в курсе.  
хм. а что вы предлагаете? Про pfnat я вас услышал.  
Я имею ввиду как изменить правила в фаерволе чтоб правильно было?  
 
Вот моя болванка.
Брал когда то где то... потом менял... короче первоначальный источник не помню
Подробнее...
 
 
 
Добавлено:
res2001 Это делаете? Вы же, как я понял через svn это делаете?

Код:
 По необходимости, удаляем старые библиотеки:
 
freebsd /# cd /usr/src && make check-old
freebsd /# yes | make delete-old
freebsd /# yes | make delete-old-libs
 
чистим за собой /usr/obj
 
freebsd /# cd /usr/obj && chflags -R noschg * && rm -rf *
 

Всего записей: 12952 | Зарегистр. 15-03-2006 | Отправлено: 11:57 22-10-2013 | Исправлено: gryu, 12:21 22-10-2013
res2001



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
gryu
Да старые библиотеки чищу. /usr/obj удаляю совсем.
Обновляю из исходников по инструкции в хэндбуке.
И да, обычно такое происходит при переходе через мажорную версию.
Как правило при апгрейде только минорной версии не требуется перекомпиляция мира, поэтому такого не происходит.
 

Цитата:
Я имею ввиду как изменить правила в фаерволе чтоб правильно было?  

Надо до диверта поставить разрешающие правила от me и обратно, т.к. me - нат не нужен вовсе.
 
По болванке - используешь правило check-state, при этом нет ни одного правила с keep-state. check-state можно смело убрать, но лучше добавить keep-state ко всем разрешающим правилам, которые идут после check-state. И да, check-state должен быть после диверта (если добавишь keep-state). В таком виде как у тебя сейчас механизм "сохранения состояния" (check-state/keep-state) не работает.
С сохранением состояния фаер работает гораздо быстрее.

Всего записей: 2580 | Зарегистр. 11-04-2003 | Отправлено: 13:15 22-10-2013
gryu



дикий гусь
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
res2001
А попробуйте на тестовом серваке обновится бинарным апдейтом.
Глядишь и проблема рассосётся.
Только перед апдейтом веринитесь на женерик.
Кстати рекомендация про женерик .... ну вобщем я и так и так пробовал.  
В принципе работает. Если у вас в ядре нет ничего "сверх нестандартного".
Но пересобираю я в любом случае.  
 
 
Добавлено:
res2001

Цитата:
до диверта поставить разрешающие правила от me и обратно
это вы про находящиеся внизу разрешающие правила по внутренней сетке?

Код:
# разрешаем весь tcp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow tcp from any to any via ${LanIn}
# разрешаем весь udp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow udp from any to any via ${LanIn}
# разрешаем весь icmp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow icmp from any to any via ${LanIn}

я думал об этом. Не помню почему отказался.

Всего записей: 12952 | Зарегистр. 15-03-2006 | Отправлено: 14:08 22-10-2013
res2001



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
gryu

Цитата:
А попробуйте

Хотел в последний раз попробовать, но уже после целой недели плясок с бубном вокруг фряхи, мне уже это осточертело и я в итоге опять накатил свежую версию с нуля. В следующий раз попробую. Спсасибо за совет.
 

Цитата:
это вы про находящиеся внизу разрешающие правила по внутренней сетке?  

И про эти правила и правила на внешнем интерфейсе к me.
Для локалки они будут выглядеть так:
${FwCMD} add allow tcp from any to me in recv ${LanIn}  
${FwCMD} add allow tcp from me to any out xmit ${LanIn}  
Для внешнего интерфейса аналогичным образом, только, конечно, надо более конкретизировать их в зависимости от того какие службы у тебя работают на фрихе, остальные отправлять на диверт.

Всего записей: 2580 | Зарегистр. 11-04-2003 | Отправлено: 14:32 22-10-2013
tsypkin



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Код:
# разрешаем весь tcp траффик внутри локалки (на внутреннем интерфейсе)  
${FwCMD} add allow tcp from any to any via ${LanIn}  
# разрешаем весь udp траффик внутри локалки (на внутреннем интерфейсе)  
${FwCMD} add allow udp from any to any via ${LanIn}  
# разрешаем весь icmp траффик внутри локалки (на внутреннем интерфейсе)  
${FwCMD} add allow icmp from any to any via ${LanIn}
 
я думал об этом. Не помню почему отказался.

 
Все что идет через локалку на divret не попадает, там прописан только wan-интерфейс. Прописывать имеет смысл дополнительно только ненужный для ната трафик на внешнем интерфейсе.

Всего записей: 245 | Зарегистр. 23-07-2009 | Отправлено: 15:27 22-10-2013
gryu



дикий гусь
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
tsypkin
эм... да..  
что то ступил.  
Но тогда я не совсем понял что вы имеете ввиду.
 

Код:
# разрешаем DNS снаружи
${FwCMD} add allow udp from any 53 to any via ${LanOut}
# разрешаем DNS входящий снаружи
${FwCMD} add allow udp from any to any 53 via ${LanOut}

пускай внутри тоже будет. Мало ли что с DNS

Код:
# разрешаем UDP (для синхронизации времени - 123 порт)
#${FwCMD} add allow udp from any to any 123 via ${LanOut}

Я не ставлю сервер синхронизации времени. Клиенты сами синхронизируются.
Может это и не совсем правильно

Код:
 
# разрешаем ftp снаружи (пасивный режим)
${FwCMD} add allow tcp from any to ${IpOut} 21 via ${LanOut}
# разрешаем некоторые типы ICMP траффика - эхо-запрос,
# эхо-ответ и время жизни пакета истекло
${FwCMD} add allow icmp from any to any icmptypes 0,8,11
# открываем снаружи 80 порт - если у нас есть WWW сервер на машине
${FwCMD} add allow tcp from any to ${IpOut} 80 via ${LanOut}
# открываем снаружи 25 порт (SMTP) если на машине крутится почта
#${FwCMD} add allow tcp from any to ${IpOut} 25 via ${LanOut}
# открываем снаружи 22 порт - если надо будет ходить на машину по ssh
${FwCMD} add allow tcp from any to ${IpOut} 22 via ${LanOut}
# открываем снаружи 143 порт(если надо смотреть почту снаружи по IMAP)
${FwCMD} add allow tcp from any to ${IpOut} 143 via ${LanOut}
# открываем снаружи 110 порт(если надо смотреть почту снаружи по POP)
${FwCMD} add allow tcp from any to ${IpOut} 110 via ${LanOut}  
 

иногда внутри сервера бывают. Даже не по постоянке.  
Просто дело в том что возможно вас ввело в заблуждение  

Код:
natd_flags="-u -s -m"

на самом деле  

Код:
natd_flags="-u -f /etc/natd.conf"
и там ещё редиректов куча.

Всего записей: 12952 | Зарегистр. 15-03-2006 | Отправлено: 16:23 22-10-2013 | Исправлено: gryu, 16:24 22-10-2013
tsypkin



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
эм... да..   
что то ступил.  
Но тогда я не совсем понял что вы имеете ввиду.  

 
Смысл в том, чтобы прописать сначала то, что не должно попадать в NAT, а потом правило divert.

Всего записей: 245 | Зарегистр. 23-07-2009 | Отправлено: 17:00 22-10-2013
gryu



дикий гусь
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
tsypkin
идеологически это понятно.
Просто тут начинается проблема с тем, чтобы правильно определить ЧТО на НАТ не нужно, а что нужно.
Ведь большинство сервисов могут быть и внутри.
Тот же почтарь.
Ну сейчас он у меня параллельно стоит со шлюзом. Исполняет в том числе роль резервного шлюза.
Но как то он умер и пришлось по быстрому поднимать внутри сети почтарь на АльтЛинукс.  
Алиас прописал, порты пробросил и работает.  
А если вынести до диверта, то правит фаервол придёттся  
 

Всего записей: 12952 | Зарегистр. 15-03-2006 | Отправлено: 17:52 22-10-2013
tsypkin



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gryu
 
Так если у вас ничего кроме шлюза, vpn, squid не будет на нем, поставьте pfsense, там и carp есть все само будет переключаться к тому же.

Всего записей: 245 | Зарегистр. 23-07-2009 | Отправлено: 17:54 22-10-2013
res2001



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
gryu

Цитата:
А если вынести до диверта, то правит фаервол придёттся  

Ну уж если ты новый сервер поставил, то поменять пару правил в фаере труда не составит
С другой стороны, даже если natd обрабатывает пакеты направленные к me, то он все равно не должен так нагружать процессор. Аппарат у тебя вроде вполне подходящий для подобных целей. Была бы убитая машина, то, да, может быть. Уходи от natd на ipfw nat. Смотри man ipfw раздел по NAT. Изменения в правилах минимальны (divert меняешь на nat) ну и инициализировать nat надо вначале (если использовать стандартный rc.firewall то инициализация происходит автоматически), все опции аналогичны natd.
 
Кстати, да, pfsense неплохая штука, внутри та же FreeBSD, настройка вся с веб морды.

Всего записей: 2580 | Зарегистр. 11-04-2003 | Отправлено: 09:09 23-10-2013
gryu



дикий гусь
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
tsypkin
Цитата:
поставьте pfsense
В качестве офтопа.
А не захотел он ставится на мои серваки.  
Походу эта сборка сделана под обычные десктопы по принципу "поставил на первый попавшийся комп". А у меня хоть и не новейшие, но серьёзные IBM-овские сервера.
Так pfsense даже не загружается. Чего то много чего не находит и крашется.
(это я просто пробовал "на посмотреть что за зверь")  
 
Добавлено:

Цитата:
pfsense неплохая штука, внутри та же FreeBSD
pfsense "официальная дочка" FreeBSD. Так же как PCBSD и FreeNAS (но не NAS4Free).  
На оф страничке FreeBSD.org ссылки на эти проекты прямо выложены. ... типа как "официальные дети".

Всего записей: 12952 | Зарегистр. 15-03-2006 | Отправлено: 11:45 23-10-2013
tsypkin



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gryu
 
Проверил на HP DL360 - нормально встал...

Всего записей: 245 | Зарегистр. 23-07-2009 | Отправлено: 13:26 23-10-2013
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110

Компьютерный форум Ru.Board » Операционные системы » UNIX » Общие вопросы по FreeBSD


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru

Рейтинг.ru