Версия для печати темы
Нажмите сюда для просмотра этой темы в оригинальном формате
Форум программистов > Администрирование *NIX систем > Нереально падает скорость


Автор: BeKToP 2.11.2010, 16:37
Добрый день подскажите как решить проблему.
есть шлюз на freebsd и локалка, Стала сильно падать скорость интернетов, 
отключил локалку от шлюза, запустил tcpdump, стало видно что через сетевуху идёт левый траффик.. 
вот ifconfig и парочка пакетов
Код

[root@gateway /]# ifconfig
nve0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        ether 00:0c:6e:3c:42:5b
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet 172.16.0.1 netmask 0xffffff00 broadcast 172.16.0.255
        ether 4c:00:10:51:8b:be
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1492
        inet 10.100.111.181 --> 10.100.0.1 netmask 0xffffffff
        Opened by PID 370


при отключённой локалки(rl0), кде находяться все потребители интернетов tcpdump показывает левые пакеты..
Например
 
IP (tos 0x0, ttl 128, id 52221, offset 0, flags [none], proto: UDP (17), length: 78) 10.100.255.202.137 > 10.100.255.255.137: [udp sum ok]
 
IP (tos 0x0, ttl 255, id 16371, offset 0, flags [none], proto: UDP (17), length: 126) 10.100.251.230.55491 > 239.255.255.250.1900: [udp sum ok] UDP, length 98
 0x0000:  0100 5e7f fffa 904c e54b 7a11 0800 4500  ..^....L.Kz...E.
 0x0010:  007e 3ff3 0000 ff11 8536 0a64 fbe6 efff  .~?......6.d....
 0x0020:  fffa d8c3 076c 006a 5cd0 4d2d 5345 4152  .....l.j\.M-SEAR
 0x0030:  4348 202a 2048 5454 502f 312e 310d 0a48  CH.*.HTTP/1.1..H
 0x0040:  4f53 543a 2032 3339 2e32 3535 2e32 3535  OST:.239.255.255
 0x0050:  2e32 3530 3a31 3930 300d 0a53 543a 7570  .250:1900..ST:up
 0x0060:  6e70 3a72 6f6f 7464 6576 6963 650d 0a4d  np:rootdevice..M
 0x0070:  414e 3a22 7373 6470 3a64 6973 636f 7665  AN:"ssdp:discove
0x0080:  7222 0d0a 4d58 3a33 0d0a 0d0a            r"..MX:3....

IP (tos 0x0, ttl   1, id 1640, offset 0, flags [none], proto: UDP (17), length: 161) 10.100.228.217.62676 > 239.255.255.250.1900: [udp sum ok] UDP, length 133
 0x0000:  0100 5e7f fffa 0026 82ae 9094 0800 4500  ..^....&......E.
 0x0010:  00a1 0668 0000 0111 d3ac 0a64 e4d9 efff  ...h.......d....
 0x0020:  fffa f4d4 076c 008d 7d71 4d2d 5345 4152  .....l..}qM-SEAR
 0x0030:  4348 202a 2048 5454 502f 312e 310d 0a48  CH.*.HTTP/1.1..H
 0x0040:  6f73 743a 3233 392e 3235 352e 3235 352e  ost:239.255.255.
 0x0050:  3235 303a 3139 3030 0d0a 5354 3a75 726e  250:1900..ST:urn
 0x0060:  3a73 6368 656d 6173 2d75 706e 702d 6f72  :schemas-upnp-or
 0x0070:  673a 6465 7669 6365 3a49 6e74 6572 6e65  g:device:Interne
 0x0080:  7447 6174 6577 6179 4465 7669 6365 3a31  tGatewayDevice:1
 0x0090:  0d0a 4d61 6e3a 2273 7364 703a 6469 7363  ..Man:"ssdp:disc
0x00a0:  6f76 6572 220d 0a4d 583a 330d 0a0d 0a    over"..MX:3....
arp who-has 10.100.12.215 tell 10.100.237.247


До этого шлюз был на win2003, там помогало выключить tcp\ip на Сетевухе nve0 которая смотрит в локалку провайдера


PS админ у провайдера вообще невменяемый... так что надо делать своми силами :(

Автор: ChihPih 2.11.2010, 17:34
Подробнее о сети (н-р: что за интерфейс nve0)?
Цитата(BeKToP @  2.11.2010,  19:37 Найти цитируемый пост)
До этого шлюз был на win2003, там помогало выключить tcp\ip на Сетевухе nve0 которая смотрит в локалку провайдера

Всмысле?
Фаейрвол настроен?
Загрузку канала смотрели (какой именно интерфейс загружен)?

Автор: xZ0RGx 17.11.2010, 01:09
Порубите трафик файрволлом и все. Делов-то.

Я так понимаю просто из сети провайдера валится всякое широковещательное ###. Если стоит ipfw, то в нем есть замечательная вещь keep-state.

1. Запрещаете все соединения вообще.
2. Разрешаете соединения из локалки в инет, но только keep-state
3. Разрешаете из инета в локалку, но только то, что вам нужно, т.е. если внутри локалки стоят сервисы которые должны быть доступны из инета.


что такое keep-state — это по сути динамические правила.

ipfw add allow all from $lan to any 80 setup keep-state

Данное правило разрешит любой трафик из локалки на 80 порт, а приписка keep-state разрешит получить ответы от сервера в рамках этого установленного соединения. 

http://yandex.ru/yandsearch?text=check-state&lr=213

Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)