https://www.opennet.ru/openforum/vsluhforumID1/88339.html Помогите советом, сил нет выносить это уже. Чем победить, куда рыть?<br><br> 22 root 15 -5 0 0 0 R 100 0.0 389:01.94 ksoftirqd/6<br> 25 root 15 -5 0 0 0 R 91 0.0 387:09.34 ksoftirqd/7<br> https://www.opennet.ru/openforum/vsluhforumID1/88339.html#18 Fri, 10 Dec 2010 18:23:23 GMT &gt; у меня проблема аналогичная, и судя по всему - решается эффективно только <br>&gt; айписетом...<br>&gt; были подводные камни? остались ли ссылки на мануалы, которые помогли установить-настроить?... <br>&gt; плз...<br><br>Я пошел по пути наименьшего сопротивления - выбрал систему в которой установка ipset не требовала накладывать патч на ядро и сводилась практически к одной команде. Таковой оказалась CentOS. Остальное не сложно найти в инернете, к примеру здесь:<br><br>http://mysyslog.ru/posts/244<br><br>И все таки если будут конкретные вопросы - отвечу обязательно.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/88339.html#17 Tue, 01 Jun 2010 19:52:11 GMT &gt;Извините, что долго не отписывался. Проблема полностью решена установкой IPSET. Большое спасибо <br>&gt;всем, кто помогал в решение вопроса. Opennet - лучший ресурс для <br>&gt;системных администраторов. Еще раз спасибо! <br>&gt;<br>&gt;Если у кого-то будут какие либо вопросы - с лёгкостью дам ответы <br>&gt;на них. <br><br>ну и?...;-)<br>где мануал по установке?!...три месяца прошло уже!<br><br>шучу конечно )<br><br>у меня проблема аналогичная, и судя по всему - решается эффективно только айписетом...<br>были подводные камни? остались ли ссылки на мануалы, которые помогли установить-настроить?...<br>плз...<br> https://www.opennet.ru/openforum/vsluhforumID1/88339.html#16 Wed, 10 Mar 2010 20:32:03 GMT Извините, что долго не отписывался. Проблема полностью решена установкой IPSET. Большое спасибо всем, кто помогал в решение вопроса. Opennet - лучший ресурс для системных администраторов. Еще раз спасибо!<br><br>Если у кого-то будут какие либо вопросы - с лёгкостью дам ответы на них.<br> https://www.opennet.ru/openforum/vsluhforumID1/88339.html#15 Sun, 07 Mar 2010 18:05:07 GMT Да потому и спрашиваю, что сомневаюсь сильно надо ли мне это. Попытка прикрутить IPSET пока не увенчалась успехом. К своему ядру не получается прикрутить. Завтра возьму тестовую машинку, поставлю CentOS и буду пробовать на нём.<br><br>Нет ли полезных советов по этому поводу (установка ipset), чтобы не наступать на грабли?<br> https://www.opennet.ru/openforum/vsluhforumID1/88339.html#14 Sun, 07 Mar 2010 05:12:24 GMT &gt;[оверквотинг удален]<br>&gt;======= <br>&gt;При тестировании, загрузка 70000 обычных правил заняла около часа, в то время <br>&gt;как nfqueue (http://nfqueue.sf.net) почти мгновенно подгружает большие cписки блокировки, оформленные в <br>&gt;p2p, dat, csv форматах или преобразованные в специальный сжатый бинарный вид. <br>&gt;<br>&gt;======= <br>&gt;http://www.frnd.org/thread-15280-post-34035.html#pid34035 <br>&gt;Ссылаются на http://www.opennet.ru <br>&gt;<br>&gt;Это действительно так? <br><br>"Обычных правил".... (сравним обычный порошок и наш супертайд) - 70000 наверное всё-таки правил iptables ;-)<br><br>И что это вы цитаты обрезанно как-то рассматриваете. Как насчет:<br><br>В статье "Filtering traffic based on thousands of IPs efficiently (http://www.debian-administration.org/articles/540)" рассказывается о программе nfqueue (http://nfqueue.sf.net), _которая работает на пользовательском уровне_ и использует NetFilter библиотеку netlink-queue.<br><br><br>Оно вам надо ? Не, попробуйте конечно... <br> https://www.opennet.ru/openforum/vsluhforumID1/88339.html#13 Sat, 06 Mar 2010 20:42:06 GMT Нашел вот какой аргумент:<br>=======<br>При тестировании, загрузка 70000 обычных правил заняла около часа, в то время как nfqueue (http://nfqueue.sf.net) почти мгновенно подгружает большие cписки блокировки, оформленные в p2p, dat, csv форматах или преобразованные в специальный сжатый бинарный вид.<br>=======<br>http://www.frnd.org/thread-15280-post-34035.html#pid34035<br>Ссылаются на http://www.opennet.ru<br><br>Это действительно так?<br> https://www.opennet.ru/openforum/vsluhforumID1/88339.html#12 Sat, 06 Mar 2010 19:11:27 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;man ipset <br>&gt;<br>&gt;и парочку правил в FORWARD, вида <br>&gt;<br>&gt;iptables -A FORWARD -i INT_IF -m set --match-set clients src <br>&gt;iptables -A FORWARD -i EXT_IF -m set --match-set clients dst <br>&gt;<br>&gt;<br>&gt;Но для этого возможно придется ядро пересобирать. <br><br>Спасибо. Это то что надо! Ipset ясное дело у меня нет. Теперь осталось только потрудиться над тем чтобы он был. Обязательно отпишусь о результате!<br> https://www.opennet.ru/openforum/vsluhforumID1/88339.html#11 Sat, 06 Mar 2010 15:58:59 GMT <br><br>Эмм, что-то я совсем фигню пишу :-)<br><br><br>Вам надо: <br><br>man ipset<br><br>и парочку правил в FORWARD, вида<br><br>iptables -A FORWARD -i INT_IF -m set --match-set clients src<br>iptables -A FORWARD -i EXT_IF -m set --match-set clients dst<br><br><br>Но для этого возможно придется ядро пересобирать.<br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/88339.html#10 Sat, 06 Mar 2010 15:51:51 GMT &gt;[оверквотинг удален]<br>&gt; 192.168.1.10 <br>&gt;<br>&gt;и таких строк ровно по числу активных абонентов пользующих интернет. Число правил <br>&gt;на текущий момент: <br>&gt;<br>&gt;[root@~]# iptables -vnxL &#124; wc -l <br>&gt;4155 <br>&gt;<br>&gt;Вот именно из-за такого числа у меня возникают трудности, в момент пика <br>&gt;загрузки падает пропускная способность роутера, два ядра загружены ksoftirq по 100%. <br><br>4 тысячи абонентов - это как минимум 16 /24 сеток<br><br>Ну так вот. У вас наверняка есть скрипт, который добавляет правила в FORWARD. Так вот. Его надо модифицировать. Чтобы на основании айпишника, которому разрещается интернет, он попадал в различные цепочки. По следующему принципу:<br><br>FORWARD:<br><br>iptables -I FORWARD -i INTERNAL_IF -j FORWARD_OUT<br>iptables -I FORWARD -i EXTERNAL_IF1 -j FORWARD_IN<br>iptables -I FORWARD -i EXTERNAL_IF2 -j FORWARD_IN<br><br><br>iptables -I FORWARD_OUT -s 192.168.0.0/25 -о FORWARD_OUT_0_0<br>iptables -I FORWARD_OUT -s 192.168.0.128/25 -о FORWARD_OUT_0_1<br>iptables -I FORWARD_OUT -s 192.168.1.0/25 -о FORWARD_OUT_1_0<br>ipt