Доброго всем время суток,
Неизвестно из-за чего, вдруг пинг на сервер стал на 50-70мс, хотя ранее было 1-2мс (локалка)
Удивило что NATD занимает до 60% CPU (установлен 600MHz). Карточка Intel 100Mbit (внутреняя) Realtek (внешняя). Плохо пингуется в обе стороны :(
Если убираю divert пинг не более 1-2мс. Подскажите куда копать?

67 processes:  2 running, 65 sleeping
CPU states: 18.2% user,  0.0% nice, 57.4% system, 24.3% interrupt,  0.0% idle
Mem: 50M Active, 61M Inact, 36M Wired, 28M Buf, 36M Free
Swap: 1024M Total, 1024M Free

  PID USERNAME  THR PRI NICE   SIZE    RES STATE    TIME   WCPU COMMAND
  461 root        1 126    0  4376K  3968K RUN     49:39 57.23% natd
  750 nobody     19  20    0 41616K 37832K kserel   9:35  0.00% squid

• Тормозит сеть на 6.1-RELEASE FreeBSD,nimb, 23:00 , 20-Авг-06
  • Тормозит сеть на 6.1-RELEASE FreeBSD,bsdaemon, 01:07 , 21-Авг-06
• Тормозит сеть на 6.1-RELEASE FreeBSD ,perece, 01:08 , 21-Авг-06
  • Тормозит сеть на 6.1-RELEASE FreeBSD ,Shaokoa, 01:15 , 21-Авг-06
    • Тормозит сеть на 6.1-RELEASE FreeBSD ,perece, 01:20 , 21-Авг-06

Для начала посмотреть, чем natd загружен, включить для него лог, например. Либо сразу проверять, что приходит/уходит с/на natd на интерфейсах.

>Для начала посмотреть, чем natd загружен, включить для него лог, например. Либо
>сразу проверять, что приходит/уходит с/на natd на интерфейсах.
трафик локальной сети на 200 юзерей... ест..но вирусы и прочее. (сплошной транзит)

>Доброго всем время суток,
>Неизвестно из-за чего, вдруг пинг на сервер стал на 50-70мс, хотя ранее
>было 1-2мс (локалка)
>Удивило что NATD занимает до 60% CPU (установлен 600MHz). Карточка Intel 100Mbit
>(внутреняя) Realtek (внешняя). Плохо пингуется в обе стороны :(
>Если убираю divert пинг не более 1-2мс. Подскажите куда копать?
искать флудера (завирусованую машину) в локальной сети. и ДАВИТЬ!!!
опять, скажут, телепатия. но базовых понятий не отменял никто. НАТ предполагает отслеживание соединений (неважно как и чем он делается, у мя напр linux/iptables), что сильно, на несколько порядков увеличивает processing overhead для пакетов "создающих соединения" - т.е. для тех, коим XLAT-записи (термин cisco) еще не соответствует и для коих она должна быть создана. когда вирус начинает искать жертву в нете, неважно tcp syn scan это или icmp-scan, то _каждый_ такой пакет-проба создает соединение на твоем нат-хосте, а генерят вири их сотнями в секунду. когда НАТа (и, стсно, отслеживания соединений) нет - такой пакет ничем не отличается от любого другого для твоего роутера, и пропускать он их через себя может десятками или даже сотнями тысяч без проблем. отсюда и эффект.

\^P^/

Но ведь у человека 2 Фейса, один в локалку а второй в другое место....   ка ктогда обьяснить это? пусть зараженая машига в одной сети, а во второй?что такая же?

>Но ведь у человека 2 Фейса, один в локалку а второй в
>другое место....   ка ктогда обьяснить это? пусть зараженая машига
>в одной сети, а во второй?что такая же?
налицо непонимание того, как делается PAT/Masquerading/Dynamic NAT/назовихотьгоршком
фишка в том, что XLAT (или как ни назови опять же) создается первым прошедшим пакетом, syn вслучае tcp. а не syn+ack'ом в ответ. стсно когда едет син-скан, пофигу что не отвечает никто. каждый плюнутый одним единственным флудером изнутри наружу пакет - это XLAT на НАТящем хосте. _КАЖДЫЙ_.

\^P^/