AG> %SAMP IMAGE FUNCTION CALLERS AG> 30.2 kernel ipfw_chk ipfw_check_packet AG> 18.3 kernel cpu_search_highest cpu_search_highest:14.6 sched_idletd:2.1 AG> sched_switch:1.7 AG> 3.6 kernel _rm_rlock in_localip AG> 3.1 libc.so.7 bsearch 0x64db AG> 3.1 kernel cpu_search_lowest cpu_search_lowest AG> ==== AG> В ipfw менее 50 правил.. Hо подумаю как ещё посокращать. NAT там нет вовсе.
Есть в правилах ipfw слово "me"?
in_localip используется, в частности, когда ipfw проверяет, является ли IP-адрес (src или dst) собственным адресом роутера, и для этого код проходит по списку этих адресов, захватывая блокировку, чтобы не спаниковать, если в это же время происходит создание или удаление интерфейсов. Это всё не самые дешевые операции.
Hу и вообще, желательно строить правила так, чтобы большинство пакетов проходили по минимальному количеству правил, как можно раньше уходя на allow или эквивалент, для этого можно использовать skipto.
В идеале для загруженной системы надо вообще отключать все пакетные фильтры, а доступ к ssh и прочим сервисам фильтровать средствами самих сервисов и/или через /etc/hosts.allow
Hо тут-то система недогружена сильно.
AG> Смущает, что в ЧHH LA до 3-4 скачет.
А надо, чтобы в час наибольшей нагрузки система обрабатывала эту нагрузку святым духом? Повышение нагрузки под нагрузкой - так и должно быть.
AG> Тут вон лионуксоиды пишут чоу них на более слаом проце при тарфике поболье чему AG> меня,в раойне 7-8 гиг нагрузка на cpu в разы меньше. AG> ==== AG> model name : AMD FX(tm)-8350 Eight-Core Processor AG> суммарно под 20 г AG> ла меньше 1 AG> ===
Hельзя сравнивать LA в разных операционных системах, они несравнимо по-разному считаются. Hо можно сравнивать количество idle CPU.
Кроме того, "более слабый проц" может означать более старую аппаратуру без NUMA. А использование железа с NUMA накладывает особые требования на конфигурирование, а иначе можно получить значительные тормоза просто на копировании данных между разными доменами.