https://slinkov.ru/openforum/vsluhforumID1/85224.html FreeBSD 6.3<br><br>Собственно непереодически нагрузка на один из трех екземпляров natd с нормальных 6-10% вырастает до 90-110+% с сопутствующими тормозами.<br><br>Чувствую связано с тем что засыпаеться он просто по количеству сессий от одного или нескольких пользователей скажем с вирусней. <br><br>А найти как кто скушивает весь его ресурс?<br> https://slinkov.ru/openforum/vsluhforumID1/85224.html#9 Tue, 12 May 2009 19:08:51 GMT &gt;если под вирусней вы подразумеваете спам ботов - то все просто <br>&gt;ipfw add count log from my_customer's_nets to any dst-port setup <br>&gt;дале сидим и смотрим в логе от кого летит куча коннектов на <br>&gt;25 <br><br>А если подразумеваем множественные коннекты по разным портам от сотни юзеров на интерфейсе? Отлавливать таких в принципе можно при помощи trafshow но неприятно :\<br><br>Было бы просто чудно видеть просто колличество устанавливаемых сессий от конкретных айпишек.<br> https://slinkov.ru/openforum/vsluhforumID1/85224.html#8 Tue, 12 May 2009 08:09:44 GMT &gt;&gt;&gt;<br>&gt;&gt;&gt;man natd <br>&gt;&gt;&gt;-verbose <br>&gt;&gt;<br>&gt;&gt;понял, спасибо :) <br>&gt;&gt;<br>&gt;&gt;А в чем еще можно в живую кроме tcpdump и trafshow траффик <br>&gt;&gt;на интерфейсе с целью определить самых активных пользователей с вирусней? <br>&gt;<br>&gt;iftop <br><br>если под вирусней вы подразумеваете спам ботов - то все просто<br>ipfw add count log from my_customer's_nets to any dst-port setup<br>дале сидим и смотрим в логе от кого летит куча коннектов на 25<br><br><br> https://slinkov.ru/openforum/vsluhforumID1/85224.html#7 Tue, 12 May 2009 07:47:37 GMT &gt;&gt;<br>&gt;&gt;man natd <br>&gt;&gt;-verbose <br>&gt;<br>&gt;понял, спасибо :) <br>&gt;<br>&gt;А в чем еще можно в живую кроме tcpdump и trafshow траффик <br>&gt;на интерфейсе с целью определить самых активных пользователей с вирусней? <br><br>iftop<br> https://slinkov.ru/openforum/vsluhforumID1/85224.html#6 Tue, 12 May 2009 07:34:06 GMT &gt;<br>&gt;man natd <br>&gt;-verbose <br><br>понял, спасибо :)<br><br>А в чем еще можно в живую кроме tcpdump и trafshow траффик на интерфейсе с целью определить самых активных пользователей с вирусней? <br><br><br> https://slinkov.ru/openforum/vsluhforumID1/85224.html#5 Tue, 12 May 2009 07:31:55 GMT &gt;Для начала выкиньте natd и используйте нормальную трансляцию в ядре. <br><br>для начала я уже упомянул причины по которым этого не будет. также как и перехода на pf, также как и ipnat, также как и ngnat<br> https://slinkov.ru/openforum/vsluhforumID1/85224.html#4 Tue, 12 May 2009 03:51:44 GMT &gt;[оверквотинг удален]<br>&gt;В любом случае переход если куда-то и планируеться только на нормальную автономку <br>&gt;с прямыми айпишками для всех юзеров. Причины использования конкретно связки ipfw2+natd <br>&gt;есть - как минимум они мотивируються привязкой к балансировке и двум <br>&gt;биллингам. Именно по тойже причине и давно не ядерный нат из <br>&gt;7 фрей. <br>&gt;<br>&gt;Вопрос был вполне конкретным - как определить кто скушал все ресурсы конкретного <br>&gt;natd даже на затюненном до полусмерти sysctl на машине которая в <br>&gt;нормальных условиях на 3 натд проначивает порядка 80 мбит без проблем? <br>&gt;<br><br>man natd<br>-verbose<br> https://slinkov.ru/openforum/vsluhforumID1/85224.html#3 Tue, 12 May 2009 02:19:10 GMT Для начала выкиньте natd и используйте нормальную трансляцию в ядре.<br> https://slinkov.ru/openforum/vsluhforumID1/85224.html#2 Mon, 11 May 2009 18:57:34 GMT &gt;Я бы на вашем месте искать не стал а поставил <br>&gt;ipnat, pfnat. Настройки элементарные в стиле "кого и куда". <br>&gt;Значительно более производительнее natd. <br>&gt;(И это не просто сообщение в стиле "у кого лучше", я вам <br>&gt;за факты говорю потому что был в такой же ситуации ) <br>&gt;<br><br>В любом случае переход если куда-то и планируеться только на нормальную автономку с прямыми айпишками для всех юзеров. Причины использования конкретно связки ipfw2+natd есть - как минимум они мотивируються привязкой к балансировке и двум биллингам. Именно по тойже причине и давно не ядерный нат из 7 фрей. <br><br>Вопрос был вполне конкретным - как определить кто скушал все ресурсы конкретного natd даже на затюненном до полусмерти sysctl на машине которая в нормальных условиях на 3 натд проначивает порядка 80 мбит без проблем?<br><br> https://slinkov.ru/openforum/vsluhforumID1/85224.html#1 Mon, 11 May 2009 18:17:10 GMT &gt;FreeBSD 6.3 <br>&gt;<br>&gt;Собственно непереодически нагрузка на один из трех екземпляров natd с нормальных 6-10% <br>&gt;вырастает до 90-110+% с сопутствующими тормозами. <br>&gt;<br>&gt;Чувствую связано с тем что засыпаеться он просто по количеству сессий от <br>&gt;одного или нескольких пользователей скажем с вирусней. <br>&gt;<br>&gt;А найти как кто скушивает весь его ресурс? <br><br>Я бы на вашем месте искать не стал а поставил<br>ipnat, pfnat. Настройки элементарные в стиле "кого и куда". <br>Значительно более производительнее natd.<br>(И это не просто сообщение в стиле "у кого лучше", я вам за факты говорю потому что был в такой же ситуации )<br>