DiDaDi Skrevet 18. oktober 2007 Del Skrevet 18. oktober 2007 (endret) Har en FreeBSD 6.2 server som kjører squid og apache for personlig bruk. Den ligger som regel på 99% idle, men de siste timene har interrupt ligget på 20%. Noen som har noen ideer om hva dette kan skyldes? Hvis jeg gir for lite info si fra hva jeg bør informerer om. Edit: Ser at det er en ip så sender meg ca 10Mbit med udp pakker på port 10 000 med tcpdump. Endret 18. oktober 2007 av ruuuty Lenke til kommentar
Duronator Skrevet 22. oktober 2007 Del Skrevet 22. oktober 2007 Fint om du kan legge ved output av 'dmesg', samt pciconf -lv (Kanskje et annet sted siden de er ganske store). Lenke til kommentar
DiDaDi Skrevet 23. oktober 2007 Forfatter Del Skrevet 23. oktober 2007 http://pastebin.com/m2a034d3e http://pastebin.com/d49cef765 Er rimlig sikker på at det har med stor trafikk inn på nettverkortet. Grafene for nett trafikk og cpu bruk sammenfaller vertfall. Noen mulighet for å få pf til å droppe pakkene uten å bruke så mye cpu kraft på det? Legger ved pf.conf og: http://pastebin.com/m5719ee6a Lenke til kommentar
stigfjel Skrevet 23. oktober 2007 Del Skrevet 23. oktober 2007 (endret) Du har ikke satt noen block-policy i brannmuroppsettet ditt. Det kan kanskje ha noe med saken å gjøre. Hvis du setter set block-policy drop under set loginterface bfe0 vil du nok få et bedre resultat. Det denne linjen gjør er at nå blir pakkene bare droppet uten at maskinen gidder å behandle disse på noen som helst måte. Endret 23. oktober 2007 av stigfjel Lenke til kommentar
DiDaDi Skrevet 23. oktober 2007 Forfatter Del Skrevet 23. oktober 2007 Takk for innspill! Skal sjekke det ut. Ser på tcpdump at jeg plukker opp en del trafikk mellom andre PC-er. Tyder vel på at jeg er tilkoplet en hub? Lenke til kommentar
stigfjel Skrevet 23. oktober 2007 Del Skrevet 23. oktober 2007 (endret) En annen fordel med å sette block-policy til drop er at du gjør det svært vanskelig for en portscanner å få svar om en port er åpen eller ikke. Når portscanneren prøver å scanne en port som du ikke har åpnet, vil portscanneren prøve å scanne porten helt til man får time out. Portscanneren vil da ikke være i stand til å avgjøre om porten er stengt eller åpen. Porten fremstår da som usynlig. noe som er gunstig ut i fra et sikkerhetsperspektiv. Å søke igjennom alle porter når du har satt block policy til drop vil ta svært lang tid. Maskinen din vil på den andre siden bare droppe pakkene uten å bry seg om dem uten at maskinen behandler pakkene. Endret 23. oktober 2007 av stigfjel Lenke til kommentar
DiDaDi Skrevet 23. oktober 2007 Forfatter Del Skrevet 23. oktober 2007 En liten ting, er ikke set block-policy drop default når ikke annet er angitt? Lenke til kommentar
stigfjel Skrevet 23. oktober 2007 Del Skrevet 23. oktober 2007 (endret) En liten ting, er ikke set block-policy drop default når ikke annet er angitt? Det er jeg ikke sikker på. Husk at PF i FreeBSD 6.2 svarer til PF i OpenBSD 3.7, mens OpenBSD 4.2 er rett rundt hjørnet. Det har skjedd mye med PF siden OpenBSD 3.7 var gjeldende versjon. Så det er godt mulig block-policy er satt til return (blokkerer og gir svar tilbake at porten er stengt). På brannmuren byttet jeg fra FreeBSD til OpenBSD nettopp på grunn av PF i OpenBSD er mye mer oppdatert. Edit: PF kommer fra OpenBSD. Endret 23. oktober 2007 av stigfjel Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå