» Общие вопросы по FreeBSD

Цитата:

Так... вот в чём может быть дело.... DNS прописан как IP шлюза... Вообще должн  работать, но .... DHCP то ещё на нём(шлюзе) не включён!!!!

Ну поставьте bind и включите его как forwarder.

gryu
С внутренней машины пингуется внутренний адрес шлюза?

Цитата:

С внутренней машины пингуется внутренний адрес шлюза?

Я НЕ МОГУ достучатся до внутренней машины.
Сам я нахожусь в другом городе

P.S.
Эм..
Первичную установку я провёл дома.
Отправил на машине сервер в офис.
Там его подключили в режиме "удалённая обезьяна"
Вот теперь мукаюсь...
Человек способный изменить IP на виндовой машине появится в офисе только вечером.
Машины к которым я сейчас могу подключится нельзя трогать.
Единственная машина с которой можно экспериментировать, перестала откликаться после перенастройки IP.

т.е. со шлюза не пингуется внутренняя машина и наоборот?
Для начала выключи фаервол, убери нат и gateway можно пока вырубить. Если в такой конфигурации не будет пинговаться внутренняя машина, значит:
1.не разрешены пинги на внутренней машине (фаер на винде блокирует - временно остановить)
2.на внутренней машине не правильно настроен IP
3.внутренняя машина не подключена к шлюзу (или находится в другом ВЛАН)

tsypkin
BIND никогда не ставил. И вообще локальный DNS не ставил.
Рт эта статья актуальна?
http://adw0rd.com/2009/8/26/freebsd-dns-bind9/#.UmEJTlMVTcw
Какие то нюансы есть?

Добавлено:
res2001
Цитата:

Для начала выключи фаервол

http://forum.ru-board.com/topic.cgi?forum=65&topic=3200&start=1420#19
Как вы видите, фаер в режиме опен. Выключить его нельзя. Он "ядерный".

Цитата:

1.не разрешены пинги на внутренней машине (фаер на винде блокирует - временно остановить)
2.на внутренней машине не правильно настроен IP
3.внутренняя машина не подключена к шлюзу (или находится в другом ВЛАН)

всё это уже проверялось.
2. пункт скорее всего имеет почву быть. Но не IP, а DNS. (как я предполагаю теперь на основе проверок по советам tsypkin)

gryu

Цитата:

BIND никогда не ставил. И вообще локальный DNS не ставил.
Рт эта статья актуальна?  
http://adw0rd.com/2009/8/26/freebsd-dns-bind9/#.UmEJTlMVTcw
Какие то нюансы есть?

Подойдет, перезагружать сервак не нужно (просто /etc/rc.d/named start), rndc тоже можно не настраивать.

Пока таймаут. Меня сдёрнули за хвост по другому делу.
Почесал репу и пока буду бегать, запустил обновление портов. Тоже дело нужное.

tsypkin
Угу. Бум делать. Спасибо.

res2001
Так же спасибо за участие.

gryu
ДНС на пингование шлюза или внутреннего компа никак повлиять не может, если пинговать по IP, а не по имени. Сейчас на внутренней машине можешь ДНСом настроить ДНС прова и пока не запариваться с биндом.
Выключить фаер можно:
firewall_enable="no"
Но тут может сыграть правило по умолчанию, которое выставляется при сборке ядра -
опция IPFIREWALL_DEFAULT_TO_ACCEPT. По умолчанию включена. Т.е. от этого зависит последнее правило фаера и то как будет работать ядро, если фаер отключен. Посмотреть можно методом тыка, но т.к. ты находишься удаленно, то лучше не экспериментировать с этим.

Сейчас пока выключи НАТ, чтоб не мешал никак. Будем считать, что
firewall_type="open"
работает (судя по правилам - действительно работает) и займись проверкой тех пунктов, что я написал, думаю, что трабл где-то тут.

gryu

Цитата:

tsypkin
Угу. Бум делать. Спасибо.  

Давайте, только не трогайте настройки ipfw и nat - там все верно. Пусть ваш сотрудник на месте поставит в качестве DNS на локальном компе 4.2.2.2 или 8.8.8.8 и проверит.

Удачи.

res2001

Цитата:

firewall_enable="no"

и система схлопнется нахрен т.к. фаер зарубит всё и вся
Цитата:

Но тут может сыграть правило по умолчанию, которое выставляется при сборке ядра -
опция IPFIREWALL_DEFAULT_TO_ACCEPT.

именно . Эту опцию я не использую и как следствие фаер "если что" закрывает всё нахрен.
Делается намеренно. Чтоб если задедосят или ещё как "отключат мозги у системы" , то не могли ничего и никуда. Машина просто встаёт колом.

gryu
Собственно об этом и писал далее по тексту, другими словами.
Пока ясно, что у тебя нет связи с внутренним компом и это не зависит от настроек ДНСа ни на шлюзе, ни на внутреннем компе (если пинговать, указывая IP адреса). Проверяй настройки на внутреннем компе.

Коллеги.
"мы" оказались правы. (- А кто это "Мы"? - Я и Хома! (c))
пока я с документами носился по городу мне позвонил тот самый сотрудник, который может поменять IP в винде.
Я ему дал инструкцию изменить DNS на 8.8.8.8.
Инет на машине сразу заработал.

Уф! значит это я ступил по DNS.
tsypkin, res2001 спасибо вам ещё раз на советы и участие.

tsypkin
По поводу BIND теперь тема отошла на второй план, но идея у меня появилась и ставить буду.
Буду поднимать секондори ДНС и ДДНС для поддержки своих проектов базирующихся на свободно орендуемых доменных именах.
Есть пара сайтов .. раньше DDNS приходилось брать с каких либо noip.com, а теперь хочу свой DDNS сделать. Чтоб имена были красивые. Типа моего oemhelp.tk

Доброго дня, коллеги.
Это опять я.
Кто может подсказать куда копать.

Свежеустановленная FreeBSD 9.2 релиз.
1. Пересобираю ядро с опциями
IPDIVERT
IPFIREWALL
IPFIREWALL_VERBOSE
IPFIREWALL_VERBOSE_LIMIT=100
IPFIREWALL_FORWARD
DUMMYNET

2. В rc.conf
firewall_enable="yes"
firewall_type="open"
gateway_enable="YES"
natd_enable="yes"
natd_interface="bce0"
natd_flags="-u -s -m"


Система работает, но не стабильно.
Симптомы:
1. Машины в подсетке за этим шлюзом получают медленный инет. Точнее нестабильная скорость
2. PuTTY при работе с сервером переодически обрывает связь. Точнее сервер перестаёт отвечать и патти отваливается с заявлением "удалённый сервер отвалился"
3. При параллельном мониторинге "top" видно что переодически NAT начинает жрать ресурсы процессора. Вплоть до 100%

Это что вообще может быть? ..
Я в выходные съездил уже туда и когда не смог понять причину, то тупо заново перезалил ОС. Опять настроил. И ... та же фигня...

Добавлено:
Включил логирование NAT но "без стакана не разберусь"
И шо бы это значило???
[more]icmp=0, udp=15, tcp=21, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=36 (sock=0)
icmp=0, udp=14, tcp=21, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=35 (sock=0)
icmp=0, udp=14, tcp=20, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=34 (sock=0)
icmp=0, udp=13, tcp=20, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=33 (sock=0)
icmp=0, udp=12, tcp=20, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=32 (sock=0)
icmp=0, udp=12, tcp=19, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=31 (sock=0)
icmp=0, udp=11, tcp=19, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=30 (sock=0)
icmp=0, udp=10, tcp=19, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=29 (sock=0)
icmp=0, udp=9, tcp=19, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=28 (sock=0)
icmp=0, udp=8, tcp=19, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=27 (sock=0)
[/more]

gryu
На версии 9.2 есть смысл использовать ядерный НАТ, а не NATD.
Включить так:
В опции ядра добавить
options IPFIREWALL_NAT
Ядро можно и не пересобирать, в этом случае надо загрузить модуль ядра ipfw_nat.ko (и настроить автоматическую загрузку при старте системы).
В rc.conf:
firewall_nat_enable="YES"
firewall_nat_interface="bce0"
firewall_nat_flags="unreg_only same_ports"

Вроде в ядерном нате нет аналога опции -s (use_sockets) в NATD.
Работает стабильней и быстрее, ресурсов потребляет меньше. В общем, одни плюсы.

Юзаю ядерный нат с версии 8, хотя он, вроде как, был уже в 7 ветке, но я семерку как-то пропустил.

На счет логов ната - что NATD, что ядерный нат имеют такие специфические логи, из них можно понять, что какая-то движуха есть, но что конкретно там есть - не ясно и это никак не лечится (я не нашел, как сделать более детальные логи).

Коллеги.
Полез ещё раз в иннет с поском "FreeBSD NAT" с акцентом на FreeBSD 9
Вычитал следующие строки в статьях.
Вчитался. Там упоминается что в 9-ке она сделали новую реализацию "На данный момент в состав ядра ОС FreeBSD 9.x входит ipfw2 который и firewall (ipfw), и NAT (ipfw nat)"
привожу кусок русского варианта.

Код: options IPFIREWALL_NAT #включаем ipfw NAT
options LIBALIAS #включаем в ядро необходимые библиотеки libalias
options ROUTETABLES=2 #две таблицы маршрутизации
options HZ="1000" #ускорение работы гигабитного сетевого адаптера

ВАЖНО! Перед сборкой ядра, проверьте наличие строки:
device bpf

gryu

Я бы сразу перешел на pf - намного интереснее. И отлаживать на порядок удобнее.

Например:
http://www.ignix.ru/public/daemon/easy-nat-pf

tsypkin
хм... Читал я о нём когда то.
Не помню почему тогда отказался от него.
Но смутно по памяти отложилось (по обсуждениям) что "оно того не стоит".
При этом что я никогда его не пробовал, а только читал о нём обсуждения.

Добавлено:
P.S.
кстати коллеги.
Немного офтопа.
Вы вообще "vi-шники" или "ee-шники"?
А то тут при обновлении фряхи через бинарный апдейт нарвался на принудительное редактирование путём vi. Сразу стало скушшшшно... хорошо инет есть. Вылез, почитал, вспомнил.
Но логику vi и его адептов опять так и не понял. Совершенно не логичный редактор...

Добавлено:
во опять NAT попёр ....
[more]
last pid: 94308; load averages: 1.56, 0.89, 0.45 up 0+01:08:10 16:12:20
34 processes: 2 running, 32 sleeping
CPU: 3.7% user, 0.0% nice, 18.5% system, 12.5% interrupt, 65.3% idle
Mem: 52M Active, 783M Inact, 176M Wired, 90M Buf, 1985M Free
Swap: 4096M Total, 4096M Free

PID USERNAME THR PRI NICE SIZE RES STATE C TIME WCPU COMMAND
958 root 1 92 0 9696K 1736K CPU3 3 1:22 65.19% natd
1074 dhcpd 1 37 0 13564K 8412K select 0 0:25 24.85% dhcpd
1111 root 1 20 0 9544K 1476K select 1 0:07 0.00% powerd
86620 root 2 52 0 64152K 44872K select 2 0:06 0.00% ruby19
1190 <user> 1 20 0 15852K 5120K select 3 0:03 0.00% sshd
1192 <user> 1 23 0 10088K 2148K wait 2 0:00 0.00% su
1187 root 1 20 0 15852K 5092K select 0 0:00 0.00% sshd
1179 <user> 1 20 0 15852K 5064K select 2 0:00 0.00% sshd
1181 <user> 1 21 0 10088K 2144K wait 0 0:00 0.00% su
[/more]

gryu
Ee никогда не использовал, vi очень удобен. Поиск, автоматическая замена и т. д.

gryu
Вообще я уже перестал компилять ядро - времени много занимает, выхлоп не заметен, все что нужно подключается модулями. Раньше компилировал все время.

На счет pf - на сколько я вкурсе pf более "высокоуровневый", если так можно выразиться, пакетный фильтр. ipfw - низкоуровневый. Все что можнов pf, можно и в ipfw, правда некоторые вещи делаются довольно сложно (например несколько каналов в инет, в pf делается парой инструкций, в ipfw надо всю логику правил под это писать), но в то же время возможна более гибкая настройка, тогда как в pf приходится соглашаться с тем, что предоставляет сам фильтр.
Юзаю ipfw и слазить не собираюсь - все устраивает.

Про редактор - ставлю MC и пользуюсь встроенным редактором. ее - прост для виндузятников, коим я в большой степени и являюсь. vi - да своеобразен, нужна привычка, но для минимального использования надо запомнить всего несколько управляющих клавиш. Без vi порой не обойтись, например на фрихе поправить данные юзера проще всего через vipw. VI - для юниксоидов, не раз слыхал, что это лучший редактор, и склонен доверять этому мнению, но сам его до сих пор освоил в минимальных объемах.

Добавлено:
На счет опций для НАТа:

Цитата:

options ROUTETABLES=2 #две таблицы маршрутизации

Если у тебя один канал в инет, то эта опция не нужна, на НАТ влияния не оказывает.

Цитата:

options HZ="1000" #ускорение работы гигабитного сетевого адаптера

Не обязательно, это что то типа оптимизации ядра для ускорения работы с гигабитными сетевухами.
У меня фря на виртуалке крутится, там то же рекомендуют эту опцию, уже без относительно сетевого адаптера, а для синхронизации с хостом.
Так же рекомендуется выставлять HZ в 1000 или в 2000 для использования DUMMYNET.
По умолчанию HZ=100
С НАТом эта опция так же никак не связана.


Цитата:

#ВАЖНО! Перед сборкой ядра, проверьте наличие строки:
device bpf

На сколько я знаю эта опция требуется вообще для ipfw, включена по умолчанию.

res2001

Цитата:

выхлоп не заметен, все что нужно подключается модулями. Раньше компилировал все время.

Дело в том, что отдельно подгрузить всё это можно было и в 4-ке.
Но в ядро это не только ради скорости вставляли.
При атаке на сервер у вас проще всего отключить модули.
Если у вас тот же фаервол модулем, то он падает и всё. Машина открыта всем ветрам.
А если в ядре и по дефолту режет всё, то уронят фаер, машина схлопнется и всё.
Спец конечно это пройдёт, а вот "Вася кулхац-цкер" обломается.

Добавлено:

Цитата:

evice bpf

На сколько я знаю эта опция требуется вообще для ipfw, включена по умолчанию.

в приводимой выше статье написано что это для последующей настройки dhcp


Код:
Код: # The `bpf' device enables the Berkeley Packet Filter.
# Be aware of the administrative consequences of enabling this!
# Note that 'bpf' is required for DHCP.

device bpf # Berkeley packet filter

gryu

Цитата:

Дело в том, что

Возможно, это и так, нигде не встречал описания подобного поведения. Проверить трудно. На практике ни разу не сталкивался.

Насчет связки pf+ipfw
Предпочитаю использовать pf для NAT (простая конфигурация и довольно высокая производительность).
Правда он пока не паралелится, в 10 версии обещали его SMP сделать.
[more=pfctl -sinfo]
Status: Enabled for 13 days 22:07:06 Debug: Urgent

State Table Total Rate
current entries 103951
searches 215945151537 179531.5/s
inserts 1736826060 1444.0/s
removals 1736823662 1444.0/s
Counters
match 109827123314 91307.6/s
bad-offset 0 0.0/s
fragment 3382 0.0/s
short 7134 0.0/s
normalize 0 0.0/s
memory 0 0.0/s
bad-timestamp 0 0.0/s
congestion 0 0.0/s
ip-option 1 0.0/s
proto-cksum 509633 0.4/s
state-mismatch 21367734 17.8/s
state-insert 3533 0.0/s
state-limit 0 0.0/s
src-limit 0 0.0/s
synproxy 0 0.0/s
[/more]

ipfw использую исключительно для шейпера (dummynet).

Кстати о каких цифрах трафика идет речь что natd сьедает столько ресурсов?
[more=top netstat при использовании pf, только NAT]
# top -SHIP

last pid: 40266; load averages: 2.07, 1.51, 1.36 up 137+21:54:48 15:50:25
139 processes: 5 running, 96 sleeping, 38 waiting
CPU 0: 0.0% user, 0.0% nice, 0.4% system, 24.8% interrupt, 74.8% idle
CPU 1: 0.0% user, 0.0% nice, 0.0% system, 34.2% interrupt, 65.8% idle
CPU 2: 0.0% user, 0.0% nice, 0.4% system, 23.7% interrupt, 75.9% idle
CPU 3: 0.0% user, 0.0% nice, 0.0% system, 24.4% interrupt, 75.6% idle
Mem: 1320M Active, 1549M Inact, 801M Wired, 133M Cache, 414M Buf, 74M Free
Swap: 4096M Total, 164K Used, 4096M Free

PID USERNAME PRI NICE SIZE RES STATE C TIME WCPU COMMAND
11 root 171 ki31 0K 64K CPU2 2 2823.5 82.67% idle{idle: cpu2}
11 root 171 ki31 0K 64K RUN 0 2731.9 79.69% idle{idle: cpu0}
11 root 171 ki31 0K 64K CPU3 3 2786.0 78.86% idle{idle: cpu3}
11 root 171 ki31 0K 64K CPU1 1 2777.3 74.17% idle{idle: cpu1}
12 root -68 - 0K 608K WAIT 1 128.6H 9.67% intr{irq269: igb
12 root -68 - 0K 608K WAIT 0 120.2H 8.79% intr{irq272: igb
12 root -68 - 0K 608K WAIT 1 128.0H 8.06% intr{irq273: igb
12 root -68 - 0K 608K WAIT 3 126.9H 7.67% intr{irq271: igb
12 root -68 - 0K 608K WAIT 0 118.9H 7.08% intr{irq268: igb
12 root -68 - 0K 608K WAIT 3 93.4H 6.98% intr{irq263: igb
12 root -68 - 0K 608K WAIT 1 93.4H 6.88% intr{irq261: igb
12 root -68 - 0K 608K WAIT 2 117.3H 6.79% intr{irq266: igb
12 root -68 - 0K 608K WAIT 2 117.0H 6.15% intr{irq274: igb
root@nat2:/root # netstat -w1
input (Total) output
packets errs idrops bytes packets errs bytes colls
253991 0 0 216118779 250043 0 216420234 0
264275 0 0 227714295 260856 0 228229564 0
234832 0 0 199735233 230788 0 199824040 0
^C
[/more]


Добавлено:
gryu
А можете top -SHIP показать? Как-то аномально много у вас dhcpd проца ест.

goletsa

Цитата:

Кстати о каких цифрах трафика идет речь

На данный момент, 4 машины и ничего кроме нетсерфинга. Офис на реорганизации и почти не работает.
Правда плюс ещё работа локального сервера базы данных (система типа локальный сервер - головной сервер. связь постояна). но там трафика по GPRS хватает.


Код:
# top -SHIP

last pid: 90289; load averages: 0.00, 0.01, 0.00 up 0+04:42:07 19:46:17
91 processes: 5 running, 68 sleeping, 18 waiting
CPU 0: 0.0% user, 0.0% nice, 0.0% system, 0.0% interrupt, 100% idle
CPU 1: 0.4% user, 0.0% nice, 0.0% system, 0.0% interrupt, 99.6% idle
CPU 2: 0.0% user, 0.0% nice, 0.0% system, 0.0% interrupt, 100% idle
CPU 3: 0.0% user, 0.0% nice, 0.0% system, 0.0% interrupt, 100% idle
Mem: 19M Active, 855M Inact, 194M Wired, 91M Buf, 1928M Free
Swap: 4096M Total, 4096M Free

PID USERNAME PRI NICE SIZE RES STATE C TIME WCPU COMMAND
11 root 155 ki31 0K 32K RUN 1 273:17 100.00% idle{idle: cpu1}
11 root 155 ki31 0K 32K CPU3 3 270:59 100.00% idle{idle: cpu3}
11 root 155 ki31 0K 32K CPU2 2 270:42 100.00% idle{idle: cpu2}
11 root 155 ki31 0K 32K CPU0 0 267:54 99.76% idle{idle: cpu0}
16 root 16 - 0K 8K syncer 1 3:08 1.37% syncer
90289 root 20 0 9872K 2188K CPU1 1 0:00 0.20% top

gryu
ну щас загрузка никакая.
Интересно как получилось

Код:
958 root 1 92 0 9696K 1736K CPU3 3 1:22 65.19% natd
1074 dhcpd 1 37 0 13564K 8412K select 0 0:25 24.85% dhcpd

Цитата:

Это однозначно какая-то аномалия.

эта аномалия меня уже зае** .... ща попробую сэмулировать.

gryu

Можно еще раз ipfw show?

Похожая тема:
https://groups.google.com/forum/#!topic/mailing.freebsd.net/4aebZlUt9Cs

Цитата:

ipfw show

# ipfw show
00050 12620337 35367404686 divert 8668 ip4 from any to any via bce0
00100 24211410 1355838922 allow ip from any to any via lo0
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
00400 0 0 deny ip from any to ::1
00500 0 0 deny ip from ::1 to any
00600 4 312 allow ipv6-icmp from :: to ff02::/16
00700 0 0 allow ipv6-icmp from fe80::/10 to fe80::/10
00800 1 96 allow ipv6-icmp from fe80::/10 to ff02::/16
00900 0 0 allow ipv6-icmp from any to any ip6 icmp6types 1
01000 0 0 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
65000 12941076 35525382534 allow ip from any to any
65535 8 704 deny ip from any to any


Добавлено:
Вот. Пошёл жрать.

last pid: 37135; load averages: 1.24, 0.67, 0.32 up 0+04:58:30 20:02:40
111 processes: 8 running, 86 sleeping, 17 waiting
CPU 0: 4.7% user, 0.0% nice, 15.4% system, 13.0% interrupt, 66.9% idle
CPU 1: 6.3% user, 0.0% nice, 21.7% system, 16.9% interrupt, 55.1% idle
CPU 2: 8.3% user, 0.0% nice, 16.9% system, 12.6% interrupt, 62.2% idle
CPU 3: 6.7% user, 0.0% nice, 15.0% system, 11.8% interrupt, 66.5% idle
Mem: 33M Active, 1065M Inact, 190M Wired, 96M Buf, 1709M Free
Swap: 4096M Total, 4096M Free

PID USERNAME PRI NICE SIZE RES STATE C TIME WCPU COMMAND
11 root 155 ki31 0K 32K RUN 0 282:47 68.65% idle{idle: cpu0}
11 root 155 ki31 0K 32K RUN 3 285:25 64.16% idle{idle: cpu3}
11 root 155 ki31 0K 32K RUN 2 285:14 61.77% idle{idle: cpu2}
958 root 52 0 9696K 1736K select 1 4:37 59.38% natd
11 root 155 ki31 0K 32K RUN 1 288:21 57.96% idle{idle: cpu1}
12 root -72 - 0K 144K CPU2 2 3:28 51.37% intr{swi1: netisr 0}
1074 dhcpd 34 0 13564K 8412K CPU2 2 1:31 23.00% dhcpd
36213 root 52 0 16228K 8284K wait 1 0:00 0.20% make
36216 root 52 0 8036K 960K wait 3 0:00 0.20% make
36218 root 52 0 9852K 2000K wait 0 0:00 0.10% sh
37128 root 52 0 8036K 804K wait 1 0:00 0.00% make
37135 root 72 0 8036K 716K CPU0 0 0:00 0.00% make
37130 root 52 0 9852K 1980K wait 1 0:00 0.00% sh



Добавлено:
last pid: 38207; load averages: 2.11, 1.04, 0.48 up 0+04:59:22 20:03:32
111 processes: 8 running, 86 sleeping, 17 waiting
CPU 0: 2.4% user, 0.0% nice, 18.1% system, 28.7% interrupt, 50.8% idle
CPU 1: 0.8% user, 0.0% nice, 18.1% system, 28.3% interrupt, 52.8% idle
CPU 2: 3.9% user, 0.0% nice, 36.2% system, 11.4% interrupt, 48.4% idle
CPU 3: 4.7% user, 0.0% nice, 34.3% system, 10.2% interrupt, 50.8% idle
Mem: 33M Active, 1059M Inact, 193M Wired, 128M Buf, 1710M Free
Swap: 4096M Total, 4096M Free

PID USERNAME PRI NICE SIZE RES STATE C TIME WCPU COMMAND
958 root 102 0 9696K 1736K CPU0 0 5:27 99.27% natd
12 root -72 - 0K 144K CPU3 3 4:08 81.49% intr{swi1: netisr 0}
11 root 155 ki31 0K 32K RUN 0 283:13 56.69% idle{idle: cpu0}
11 root 155 ki31 0K 32K RUN 3 285:49 51.56% idle{idle: cpu3}
11 root 155 ki31 0K 32K RUN 1 288:43 48.29% idle{idle: cpu1}
11 root 155 ki31 0K 32K CPU2 2 285:36 46.19% idle{idle: cpu2}
1074 dhcpd 42 0 13564K 8412K CPU2 2 1:50 34.28% dhcpd



Добавлено:

# top -SHIP

last pid: 46262; load averages: 2.44, 1.52, 0.75 up 0+05:01:41 20:05:51
114 processes: 8 running, 89 sleeping, 17 waiting
CPU 0: 15.4% user, 0.0% nice, 25.2% system, 18.5% interrupt, 40.9% idle
CPU 1: 19.7% user, 0.0% nice, 24.0% system, 12.6% interrupt, 43.7% idle
CPU 2: 25.2% user, 0.0% nice, 28.0% system, 10.6% interrupt, 36.2% idle
CPU 3: 22.0% user, 0.0% nice, 31.9% system, 10.2% interrupt, 35.8% idle
Mem: 37M Active, 1047M Inact, 208M Wired, 109M Buf, 1704M Free
Swap: 4096M Total, 4096M Free

PID USERNAME PRI NICE SIZE RES STATE C TIME WCPU COMMAND
958 root 93 0 9696K 1736K CPU0 0 7:17 69.87% natd
12 root -72 - 0K 144K CPU2 2 5:33 52.20% intr{swi1: netisr 0}
11 root 155 ki31 0K 32K RUN 3 286:49 44.09% idle{idle: cpu3}
11 root 155 ki31 0K 32K RUN 0 284:20 43.80% idle{idle: cpu0}
11 root 155 ki31 0K 32K RUN 2 286:35 43.46% idle{idle: cpu2}
11 root 155 ki31 0K 32K RUN 1 289:40 43.16% idle{idle: cpu1}
1074 dhcpd 38 0 13564K 8412K select 2 2:32 26.37% dhcpd
16 root 16 - 0K 8K syncer 3 3:16 0.29% syncer
46262 root 72 0 14208K 7952K CPU1 1 0:00 0.00% cc1
46251 root 52 0 8036K 892K wait 3 0:00 0.00% make
46260 root 52 0 9852K 1980K wait 1 0:00 0.00% sh
46261 root 52 0 8036K 520K wait 1 0:00 0.00% cc


#-------------
При

# top


last pid: 38207; load averages: 2.13, 1.19, 0.56 up 0+05:00:09 20:04:19
43 processes: 2 running, 41 sleeping
CPU: 3.6% user, 0.0% nice, 26.9% system, 19.1% interrupt, 50.4% idle
Mem: 33M Active, 1059M Inact, 193M Wired, 128M Buf, 1710M Free
Swap: 4096M Total, 4096M Free

PID USERNAME THR PRI NICE SIZE RES STATE C TIME WCPU COMMAND
958 root 1 102 0 9696K 1736K CPU3 3 6:13 99.17% natd
1074 dhcpd 1 44 0 13564K 8412K select 1 2:07 34.86% dhcpd



Добавлено:
Причём это всё вданном случае вызвано запущенным по циклу
make cleandepend && make depend
Понятно что это не причина. Но .....

gryu

Я бы для начала добавил:

00150 allow ip from me to not me out via bce0

а divert перенес бы на 1100

tsypkin
Это вы по IPFW?
Фаервол в режиме open сейчас работает.

Добавлено:
блиин... выдели бы вы как сейчас построчно прогружается МС..... ....
Как в рекламе.. "вау! это же гла-а-аз"

Я бы вообще от divert отказался, он очень слоупочит.
Да и смущает меня

Код:
ip4 from any to any via bce0