forum.opennet.ru - "freebsd & smp резкое падение произовдительности pf " (6)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"freebsd & smp резкое падение произовдительности pf "

Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"freebsd & smp резкое падение произовдительности pf "	+/–
Сообщение от strait (??) on 04-Янв-12, 15:48
Приветствую! Вопервых, я знаю что pf "однопроцессорный", проблема проявляется при определенных условиях. Фря крутится на ibm сервере (серию смогу сказать позже), инет подключен через 2-ух провайдеров, соответсвенно pf настроен так, что бы ответы уходили через того провайдера, через которого пришел запрос: pass in quick on $dev reply-ro ($gw....) ..... проблема выражается в жестоких лагах при работе по ssh, вывод ps ax можно ждать 10-ток секунд, хотя посимвольный набор команд не тормозит. top -SIP в такой момент показывает скачек "процесса" intr если убрать правило reply-to и соединятся по ssh "напрямую", с тем интерфейсом с которого уходят пакеты по дефолтному маршруту, при включеном pf тормозов и скачков прерываний не наблюдается. пробовал перейти на DEVICE_POLLING, но сетевухи igbX его не понимают :(
Ответить \| Правка \| Cообщить модератору

Оглавление

freebsd & smp резкое падение произовдительности pf , universite, 13:55 , 06-Янв-12, (1)

freebsd & smp резкое падение произовдительности pf , strait, 14:12 , 06-Янв-12, (2)

freebsd & smp резкое падение произовдительности pf , universite, 22:37 , 06-Янв-12, (3)

freebsd & smp резкое падение произовдительности pf , strait, 01:29 , 07-Янв-12, (4)

freebsd & smp резкое падение произовдительности pf , rustamxp, 00:26 , 18-Янв-12, (5)

freebsd & smp резкое падение произовдительности pf , rustamxp, 02:18 , 18-Янв-12, (6)

Сообщения по теме [Сортировка по времени | RSS]

1. "freebsd & smp резкое падение произовдительности pf " +/–

Сообщение от universite (ok) on 06-Янв-12, 13:55

> Приветствую!
> Вопервых, я знаю что pf "однопроцессорный", проблема проявляется при определенных условиях.
uname -a
cat /etc/sysctl.conf
cat /etc/pf.conf
pfctl -sm
netstat -m

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "freebsd & smp резкое падение произовдительности pf " +/–

Сообщение от strait (??) on 06-Янв-12, 14:12

FreeBSD gate.vtg 8.1-RELEASE FreeBSD 8.1-RELEASE #2: Mon Jan  2 14:19:17 EET 2012     strait@gate.vtg:/usr/src/sys/amd64/compile/vtg  amd64
cat /etc/sysctl.conf:
net.inet.icmp.drop_redirect=1
net.inet.tcp.drop_synfin=1
net.bpf.maxbufsize=16777216
net.bpf.bufsize=4194304
kern.ipc.nmbclusters=131072
kern.ipc.maxsockbuf=2097152
net.inet.udp.recvspace=1048576
net.inet.udp.maxdgram=131072
net.local.dgram.recvspace=1048576
net.local.dgram.maxdgram=131072
net.inet.tcp.sendspace=131072
net.inet.tcp.recvspace=131072
net.inet.tcp.msl=7500
net.inet.tcp.nolocaltimewait=1
cat /etc/pf.conf
ext_wnet="igb1"
wnet_gw="..."
ext_dg="igb0"
dg_gw="..."
int="bce0"
#set state-policy if-bound
set skip on lo0
#scrub on $ext_wnet all no-df random-id min-ttl 15
#scrub on $ext_dg all no-df random-id min-ttl 15
table <natusers> {192.168.30.0/24, 192.168.2.61, 192.168.32.24, 192.168.1.15, 192.168.2.175, 10.0.20.2, 10.0.21.10, 10.0.21.16/29}
table <buhi> {192.168.2.56, 192.168.2.57, 192.168.2.59, 192.168.2.105}
nat on $ext_wnet from <natusers> to {mail.ukrpost.ua, mail.i.com.ua} -> ($ext_wnet)
nat on $ext_dg from <natusers> to {mail.ukrpost.ua, mail.i.com.ua} -> ($ext_dg)
nat on $ext_wnet from <natusers> to any port != smtp -> ($ext_wnet)
nat on $ext_dg from <natusers> to any port != smtp -> ($ext_dg)
nat on $ext_wnet from 192.168.2.1 to any port https -> ($ext_wnet)
nat on $ext_dg from 192.168.2.1 to any port https -> ($ext_dg)
rdr on {$ext_wnet, $ext_dg} proto tcp from any to {$ext_wnet, $ext_dg} port rdp -> 192.168.1.10
rdr on {$ext_wnet, $ext_dg} proto tcp from any to {$ext_wnet, $ext_dg} port 5650 -> 192.168.30.93
rdr on {$ext_wnet, $ext_dg} proto tcp from any to {$ext_wnet, $ext_dg} port 5938 -> 192.168.30.32
nat on $ext_wnet from any to ungg.org -> ($ext_wnet)
nat on $ext_wnet from 192.168.2.105 to 195.248.93.152 port 5557 -> ($ext_wnet)
nat on $ext_dg from 192.168.2.105 to 195.248.93.152 port 5557 -> ($ext_dg)
nat on $ext_wnet from <buhi> to {ibank.alfabank.ru, ibank.aval.ua} port 443 -> ($ext_wnet)
nat on $ext_dg from <buhi> to {ibank.alfabank.ru, ibank.aval.ua} port 443 -> ($ext_dg)

#block in
#block out
pass on bce1 all
block in quick on bce1 from any to 192.168.0.0/16
pass on $int all
pass on tun0
pass all
# Incoming policy
pass in quick on $ext_wnet reply-to ($ext_wnet $wnet_gw) proto tcp to ($ext_wnet) port {smtp, 465, 587, domain, www, imaps}  keep state
pass in quick on $ext_dg reply-to ($ext_dg $dg_gw) proto tcp to ($ext_dg) port {smtp, 465, 587, domain, www, imaps} keep state
pass in quick on $ext_wnet reply-to ($ext_wnet $wnet_gw) proto udp to ($ext_wnet) port {domain, 1194} keep state
pass in quick on $ext_dg reply-to ($ext_dg $dg_gw) proto udp to ($ext_dg) port {domain, 1194} keep state
pass in quick on $ext_wnet reply-to ($ext_wnet $wnet_gw) proto tcp to ($ext_wnet) port ssh keep state (source-track rule, max-src-states 1)
pass in quick on $ext_dg reply-to ($ext_dg $dg_gw) proto tcp to ($ext_dg) port ssh keep state (source-track rule, max-src-states 1)
pfctl -sm:
states        hard limit    10000
src-nodes     hard limit    10000
frags         hard limit     5000
tables        hard limit     1000
table-entries hard limit   100000
netstat -m
66564/2301/68865 mbufs in use (current/cache/total)
33789/2041/35830/131072 mbuf clusters in use (current/cache/total/max)
33788/1284 mbuf+clusters out of packet secondary zone in use (current/cache)
0/388/388/12800 4k (page size) jumbo clusters in use (current/cache/total/max)
0/0/0/6400 9k jumbo clusters in use (current/cache/total/max)
0/0/0/3200 16k jumbo clusters in use (current/cache/total/max)
84219K/6209K/90428K bytes allocated to network (current/cache/total)
0/0/0 requests for mbufs denied (mbufs/clusters/mbuf+clusters)
0/0/0 requests for jumbo clusters denied (4k/9k/16k)
0/0/0 sfbufs in use (current/peak/max)
0 requests for sfbufs denied
0 requests for sfbufs delayed
0 requests for I/O initiated by sendfile
0 calls to protocol drain routines
и за компанию vmstat -i:
interrupt                          total       rate
irq16: atapci0                   1532649          9
irq17: uhci0 uhci2+               120232          0
irq18: uhci1 uhci3                    14          0
irq32: mfi0                      1532624          9
cpu0: timer                    319871711       2000
irq256: igb0                       64192          0
irq257: igb0                       21584          0
irq258: igb0                       27571          0
irq259: igb0                       22546          0
irq260: igb0                           2          0
irq261: igb1                     4149936         25
irq262: igb1                     1845840         11
irq263: igb1                     1993762         12
irq264: igb1                     1864373         11
irq265: igb1                           2          0
irq266: bce0                    10844444         67
irq267: bce1                           1          0
cpu1: timer                    319871634       2000
cpu3: timer                    319871635       2000
cpu2: timer                    319871635       2000
Total                         1303506387       8150
судя по последнему выводу с прерываниями все норм

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "freebsd & smp резкое падение произовдительности pf " +/–

Сообщение от universite (ok) on 06-Янв-12, 22:37

> FreeBSD gate.vtg 8.1-RELEASE FreeBSD 8.1-RELEASE #2: Mon Jan  2 14:19:17 EET
> 2012     strait@gate.vtg:/usr/src/sys/amd64/compile/vtg  amd64
Обновитесь до 9.0

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "freebsd & smp резкое падение произовдительности pf " +/–

Сообщение от strait (??) on 07-Янв-12, 01:29

>> FreeBSD gate.vtg 8.1-RELEASE FreeBSD 8.1-RELEASE #2: Mon Jan  2 14:19:17 EET
>> 2012     strait@gate.vtg:/usr/src/sys/amd64/compile/vtg  amd64
> Обновитесь до 9.0
помогло обновление до 8.2, thx

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "freebsd & smp резкое падение произовдительности pf " +/–

Сообщение от rustamxp (ok) on 18-Янв-12, 00:26

>[оверквотинг удален]
> 2-ух провайдеров, соответсвенно pf настроен так, что бы ответы уходили через
> того провайдера, через которого пришел запрос:
> pass in quick on $dev reply-ro ($gw....) .....
> проблема выражается в жестоких лагах при работе по ssh, вывод ps ax
> можно ждать 10-ток секунд, хотя посимвольный набор команд не тормозит.
> top -SIP в такой момент показывает скачек "процесса" intr
> если убрать правило reply-to и соединятся по ssh "напрямую", с тем интерфейсом
> с которого уходят пакеты по дефолтному маршруту, при включеном pf тормозов
> и скачков прерываний не наблюдается.
> пробовал перейти на DEVICE_POLLING, но сетевухи igbX его не понимают :(
FreeBSD 8.1-RELEASE-p6
на сервере стоят интеловские сетевухи em , наблюдаю те же грабли.
включение режима поллинга результата не принесло. пошел обновляться на 8.2

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "freebsd & smp резкое падение произовдительности pf " +/–

Сообщение от rustamxp (ok) on 18-Янв-12, 02:18

>[оверквотинг удален]
>> проблема выражается в жестоких лагах при работе по ssh, вывод ps ax
>> можно ждать 10-ток секунд, хотя посимвольный набор команд не тормозит.
>> top -SIP в такой момент показывает скачек "процесса" intr
>> если убрать правило reply-to и соединятся по ssh "напрямую", с тем интерфейсом
>> с которого уходят пакеты по дефолтному маршруту, при включеном pf тормозов
>> и скачков прерываний не наблюдается.
>> пробовал перейти на DEVICE_POLLING, но сетевухи igbX его не понимают :(
> FreeBSD 8.1-RELEASE-p6
> на сервере стоят интеловские сетевухи em , наблюдаю те же грабли.
> включение режима поллинга результата не принесло. пошел обновляться на 8.2
FreeBSD 8.2-RELEASE-p6
полет нормальный :)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "freebsd & smp резкое падение произовдительности pf "	+/–
Сообщение от universite (ok) on 06-Янв-12, 13:55
> Приветствую! > Вопервых, я знаю что pf "однопроцессорный", проблема проявляется при определенных условиях. uname -a cat /etc/sysctl.conf cat /etc/pf.conf pfctl -sm netstat -m
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "freebsd & smp резкое падение произовдительности pf "	+/–
	Сообщение от strait (??) on 06-Янв-12, 14:12
	FreeBSD gate.vtg 8.1-RELEASE FreeBSD 8.1-RELEASE #2: Mon Jan 2 14:19:17 EET 2012 strait@gate.vtg:/usr/src/sys/amd64/compile/vtg amd64 cat /etc/sysctl.conf: net.inet.icmp.drop_redirect=1 net.inet.tcp.drop_synfin=1 net.bpf.maxbufsize=16777216 net.bpf.bufsize=4194304 kern.ipc.nmbclusters=131072 kern.ipc.maxsockbuf=2097152 net.inet.udp.recvspace=1048576 net.inet.udp.maxdgram=131072 net.local.dgram.recvspace=1048576 net.local.dgram.maxdgram=131072 net.inet.tcp.sendspace=131072 net.inet.tcp.recvspace=131072 net.inet.tcp.msl=7500 net.inet.tcp.nolocaltimewait=1 cat /etc/pf.conf ext_wnet="igb1" wnet_gw="..." ext_dg="igb0" dg_gw="..." int="bce0" #set state-policy if-bound set skip on lo0 #scrub on $ext_wnet all no-df random-id min-ttl 15 #scrub on $ext_dg all no-df random-id min-ttl 15 table <natusers> {192.168.30.0/24, 192.168.2.61, 192.168.32.24, 192.168.1.15, 192.168.2.175, 10.0.20.2, 10.0.21.10, 10.0.21.16/29} table <buhi> {192.168.2.56, 192.168.2.57, 192.168.2.59, 192.168.2.105} nat on $ext_wnet from <natusers> to {mail.ukrpost.ua, mail.i.com.ua} -> ($ext_wnet) nat on $ext_dg from <natusers> to {mail.ukrpost.ua, mail.i.com.ua} -> ($ext_dg) nat on $ext_wnet from <natusers> to any port != smtp -> ($ext_wnet) nat on $ext_dg from <natusers> to any port != smtp -> ($ext_dg) nat on $ext_wnet from 192.168.2.1 to any port https -> ($ext_wnet) nat on $ext_dg from 192.168.2.1 to any port https -> ($ext_dg) rdr on {$ext_wnet, $ext_dg} proto tcp from any to {$ext_wnet, $ext_dg} port rdp -> 192.168.1.10 rdr on {$ext_wnet, $ext_dg} proto tcp from any to {$ext_wnet, $ext_dg} port 5650 -> 192.168.30.93 rdr on {$ext_wnet, $ext_dg} proto tcp from any to {$ext_wnet, $ext_dg} port 5938 -> 192.168.30.32 nat on $ext_wnet from any to ungg.org -> ($ext_wnet) nat on $ext_wnet from 192.168.2.105 to 195.248.93.152 port 5557 -> ($ext_wnet) nat on $ext_dg from 192.168.2.105 to 195.248.93.152 port 5557 -> ($ext_dg) nat on $ext_wnet from <buhi> to {ibank.alfabank.ru, ibank.aval.ua} port 443 -> ($ext_wnet) nat on $ext_dg from <buhi> to {ibank.alfabank.ru, ibank.aval.ua} port 443 -> ($ext_dg) #block in #block out pass on bce1 all block in quick on bce1 from any to 192.168.0.0/16 pass on $int all pass on tun0 pass all # Incoming policy pass in quick on $ext_wnet reply-to ($ext_wnet $wnet_gw) proto tcp to ($ext_wnet) port {smtp, 465, 587, domain, www, imaps} keep state pass in quick on $ext_dg reply-to ($ext_dg $dg_gw) proto tcp to ($ext_dg) port {smtp, 465, 587, domain, www, imaps} keep state pass in quick on $ext_wnet reply-to ($ext_wnet $wnet_gw) proto udp to ($ext_wnet) port {domain, 1194} keep state pass in quick on $ext_dg reply-to ($ext_dg $dg_gw) proto udp to ($ext_dg) port {domain, 1194} keep state pass in quick on $ext_wnet reply-to ($ext_wnet $wnet_gw) proto tcp to ($ext_wnet) port ssh keep state (source-track rule, max-src-states 1) pass in quick on $ext_dg reply-to ($ext_dg $dg_gw) proto tcp to ($ext_dg) port ssh keep state (source-track rule, max-src-states 1) pfctl -sm: states hard limit 10000 src-nodes hard limit 10000 frags hard limit 5000 tables hard limit 1000 table-entries hard limit 100000 netstat -m 66564/2301/68865 mbufs in use (current/cache/total) 33789/2041/35830/131072 mbuf clusters in use (current/cache/total/max) 33788/1284 mbuf+clusters out of packet secondary zone in use (current/cache) 0/388/388/12800 4k (page size) jumbo clusters in use (current/cache/total/max) 0/0/0/6400 9k jumbo clusters in use (current/cache/total/max) 0/0/0/3200 16k jumbo clusters in use (current/cache/total/max) 84219K/6209K/90428K bytes allocated to network (current/cache/total) 0/0/0 requests for mbufs denied (mbufs/clusters/mbuf+clusters) 0/0/0 requests for jumbo clusters denied (4k/9k/16k) 0/0/0 sfbufs in use (current/peak/max) 0 requests for sfbufs denied 0 requests for sfbufs delayed 0 requests for I/O initiated by sendfile 0 calls to protocol drain routines и за компанию vmstat -i: interrupt total rate irq16: atapci0 1532649 9 irq17: uhci0 uhci2+ 120232 0 irq18: uhci1 uhci3 14 0 irq32: mfi0 1532624 9 cpu0: timer 319871711 2000 irq256: igb0 64192 0 irq257: igb0 21584 0 irq258: igb0 27571 0 irq259: igb0 22546 0 irq260: igb0 2 0 irq261: igb1 4149936 25 irq262: igb1 1845840 11 irq263: igb1 1993762 12 irq264: igb1 1864373 11 irq265: igb1 2 0 irq266: bce0 10844444 67 irq267: bce1 1 0 cpu1: timer 319871634 2000 cpu3: timer 319871635 2000 cpu2: timer 319871635 2000 Total 1303506387 8150 судя по последнему выводу с прерываниями все норм
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "freebsd & smp резкое падение произовдительности pf "	+/–
	Сообщение от universite (ok) on 06-Янв-12, 22:37
	> FreeBSD gate.vtg 8.1-RELEASE FreeBSD 8.1-RELEASE #2: Mon Jan 2 14:19:17 EET > 2012 strait@gate.vtg:/usr/src/sys/amd64/compile/vtg amd64 Обновитесь до 9.0
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "freebsd & smp резкое падение произовдительности pf "	+/–
	Сообщение от strait (??) on 07-Янв-12, 01:29
	>> FreeBSD gate.vtg 8.1-RELEASE FreeBSD 8.1-RELEASE #2: Mon Jan 2 14:19:17 EET >> 2012 strait@gate.vtg:/usr/src/sys/amd64/compile/vtg amd64 > Обновитесь до 9.0 помогло обновление до 8.2, thx
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору

5. "freebsd & smp резкое падение произовдительности pf "	+/–
Сообщение от rustamxp (ok) on 18-Янв-12, 00:26
>[оверквотинг удален] > 2-ух провайдеров, соответсвенно pf настроен так, что бы ответы уходили через > того провайдера, через которого пришел запрос: > pass in quick on $dev reply-ro ($gw....) ..... > проблема выражается в жестоких лагах при работе по ssh, вывод ps ax > можно ждать 10-ток секунд, хотя посимвольный набор команд не тормозит. > top -SIP в такой момент показывает скачек "процесса" intr > если убрать правило reply-to и соединятся по ssh "напрямую", с тем интерфейсом > с которого уходят пакеты по дефолтному маршруту, при включеном pf тормозов > и скачков прерываний не наблюдается. > пробовал перейти на DEVICE_POLLING, но сетевухи igbX его не понимают :( FreeBSD 8.1-RELEASE-p6 на сервере стоят интеловские сетевухи em , наблюдаю те же грабли. включение режима поллинга результата не принесло. пошел обновляться на 8.2
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	6. "freebsd & smp резкое падение произовдительности pf "	+/–
	Сообщение от rustamxp (ok) on 18-Янв-12, 02:18
	>[оверквотинг удален] >> проблема выражается в жестоких лагах при работе по ssh, вывод ps ax >> можно ждать 10-ток секунд, хотя посимвольный набор команд не тормозит. >> top -SIP в такой момент показывает скачек "процесса" intr >> если убрать правило reply-to и соединятся по ssh "напрямую", с тем интерфейсом >> с которого уходят пакеты по дефолтному маршруту, при включеном pf тормозов >> и скачков прерываний не наблюдается. >> пробовал перейти на DEVICE_POLLING, но сетевухи igbX его не понимают :( > FreeBSD 8.1-RELEASE-p6 > на сервере стоят интеловские сетевухи em , наблюдаю те же грабли. > включение режима поллинга результата не принесло. пошел обновляться на 8.2 FreeBSD 8.2-RELEASE-p6 полет нормальный :)
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору