NAT, который мы потеряли 3 страниц < 1 2 3

[halver]

С каких пор снимать flow cтатистику до ната уже противоречит религии? Timestamp наличествует, в случае rdr-детальки с SCE есть и HTTP Host и HTTP Request URI.

Вы бумажки из МВД давно в руках держали ? Там время без секунд, раз. dst, host, request uri там нет два (их в принципе не может быть, когда, например, хакали какой-нибудь банк-клиент). А за минуту сколько через NAT пройдет исходящих соединений ? Ну и хранить данные о соединениях пользователей надо 3 года.

Можно подумать, что статистику по внешникам хранить три года не придется, ага. Выше Кирилл вам ответил по формулировке запроса. Dst-адрес, как и таймстепм должен наличествовать, если нет - посылается уточнение. Как Вы видите ситуацию, когда внешники выдаются динамически? Кончилась сессия - адрес выдался другому. За 1 минуту - хоть 10 раз. Имхо демагогия все это..

[bitbucket]

Можно подумать, что статистику по внешникам хранить три года не придется, ага.

Размеры данных сопоставьте... Если у вас трафика на всю сеть гиг в день, то да, можно и netflow хранить.

Выше Кирилл вам ответил по формулировке запроса. Dst-адрес, как и таймстепм должен наличествовать, если нет - посылается уточнение.

Ага... маски шоу будет, а не уточнение. Вы видимо мало с МВД и подобными структурами общаетесь. Я вот, при очередном визите сотрудников в штатском с запросом "кто?", спросил про NAT - ответ был именно как я и написал: не можете найти - "маски шоу" изымает и дальше данные уже они ищут сами.

Как Вы видите ситуацию, когда внешники выдаются динамически? Кончилась сессия - адрес выдался другому. За 1 минуту - хоть 10 раз.

А вы про "отстойник" адресов слышали ?

Я не агитирую за "белые адреса", но, ИМХО, NAT на доступе это уже прошлый век.

Сообщение отредактировал bitbucket - 17.3.2010, 1:11

[cmhungry]

С каких пор снимать flow cтатистику до ната уже противоречит религии? Timestamp наличествует, в случае rdr-детальки с SCE есть и HTTP Host и HTTP Request URI.

Вы бумажки из МВД давно в руках держали ? Там время без секунд, раз. dst, host, request uri там нет два (их в принципе не может быть, когда, например, хакали какой-нибудь банк-клиент). А за минуту сколько через NAT пройдет исходящих соединений ? Ну и хранить данные о соединениях пользователей надо 3 года.

Это был нат. Пришлите запрос на "кто ходил туда-то тогда-то".

Вы так прям и отвечаете ? Сервера биллинга уже закордон перевели ? :) Они, конечно, запрос пришлют новый, в виде "маски-шоу" с изъятием всех серверов которые они найдут.

Совершенно нормально они присылают все что надо. Они прекрасно понимают что такое нат, что статистика снимается перед натом. Дают ипы которые ломали, например. Или дают действительно host и request-uri, если они есть. А хранить полный нетфлоу за 3 года - не такая уж и сверхзадача. До 40 гиг в день максимум у меня запакованная деталька, если не ошибаюсь, а то и до 15 - зависит просто от формата.

Я не агитирую за "белые адреса", но, ИМХО, NAT на доступе это уже прошлый век.

А как это называется, если не агитация? Перейдем на ип6 - не будет ната. Или, наоборот, у всех будет, поголовно, кроме самых продвинутых - 4-в-6 и наоборот.
Причем сначала, как мне кажется, у всех будет, потом уже начнет спадать необходимость.

[halver]

Размеры данных сопоставьте... Если у вас трафика на всю сеть гиг в день, то да, можно и netflow хранить.

А, простите, какая разница - статистика снятая до ната с серых, или статистика снятая с только белых по размеру? С белыми меньше станут качать чтоли?

При трафике в 2ТБ в сутки за'gzip'ованный rdr-tur весит всего 500Мб.

[bitbucket]

Совершенно нормально они присылают все что надо. Они прекрасно понимают что такое нат, что статистика снимается перед натом. Дают ипы которые ломали, например. Или дают действительно host и request-uri, если они есть.

Вам, видимо, просто везло. Последние несколько "абуз", что мы получали, были без секунд, таймзоны и dst адреса.

А хранить полный нетфлоу за 3 года - не такая уж и сверхзадача. До 40 гиг в день максимум у меня запакованная деталька, если не ошибаюсь, а то и до 15 - зависит просто от формата.

Получается ~44тера... Ну если есть место где это хранить...

А, простите, какая разница - статистика снятая до ната с серых, или статистика снятая с только белых по размеру? С белыми меньше станут качать чтоли?

С белыми будет лог вида "дата начала сессии, ipv4 адрес , юзер , дата окончания сессии".

[halver]

С белыми будет лог вида "дата начала сессии, ipv4 адрес , юзер , дата окончания сессии".

И чего поменяется в случае statefull NAT'a?)

[bitbucket]

А как это называется, если не агитация?

NATить можно корпоратов - для оператора корпорат это один конкретный клиент со статическим адресом. Кто там у него (корпората) с внутренних адресов куда лазал при запросе из МВД уже забота самого корпората, а не оператора.

Причем сначала, как мне кажется, у всех будет, потом уже начнет спадать необходимость.

ИМХО, сначала у всех будет локальный teredo или подобное стоять.

И чего поменяется в случае statefull NAT'a?)

А причем тут statefull NAT ? Я пишу про лог выдавания динамических адресов через dhcp, pptp, pppoe, ppp. В случае с statefull NAT проще "белые" адреса раздать так, сроком на месяц, например. Но вот сколько тогда надо будет адресов ?

[kapa]

Совершенно нормально они присылают все что надо. Они прекрасно понимают что такое нат, что статистика снимается перед натом. Дают ипы которые ломали, например. Или дают действительно host и request-uri, если они есть.

Вам, видимо, просто везло. Последние несколько "абуз", что мы получали, были без секунд, таймзоны и dst адреса.

Или Вам не везло.

Неоднократно общался с представителями Управления К. Всегда получал время и айпи назначения.

[Умник]

На Xeon 5570, конечно, все заметно лучше - там 120кппс бегают

Что-то совсем грустно. Переменные в /proc касательно netfilter крутили? hashsize для conntrack явно выставляли? Если нет, то не удивительно, что у вас такой "головокружительный" pps.

Сообщение отредактировал Умник - 17.3.2010, 9:37

[Умник]

А вот ксеон с карточкой и бинатом без коннтрека

Как в таком варианте поживает NAT активных FTP-соединений?

[cmhungry]

А вот ксеон с карточкой и бинатом без коннтрека

Как в таком варианте поживает NAT активных FTP-соединений?

спокойно, ему-то что будет, это ж бинат 1-в-1. 1 внутренний ип = 1 внешнему.

[kapa]

А вот ксеон с карточкой и бинатом без коннтрека

Как в таком варианте поживает NAT активных FTP-соединений?

спокойно, ему-то что будет, это ж бинат 1-в-1. 1 внутренний ип = 1 внешнему.

никак не соберусь сам потестить, но любопытно - бинат каждого внутреннего IP против ната пулом адресов при равных нагрузках меньше ресурсов жрёт или аналогично?

[cmhungry]

А вот ксеон с карточкой и бинатом без коннтрека

Как в таком варианте поживает NAT активных FTP-соединений?

спокойно, ему-то что будет, это ж бинат 1-в-1. 1 внутренний ип = 1 внешнему.

никак не соберусь сам потестить, но любопытно - бинат каждого внутреннего IP против ната пулом адресов при равных нагрузках меньше ресурсов жрёт или аналогично?

Если есть возможность сделать бинат /24 <=> /24 (ну или /16 - /16), то можно выключить conntrack - и тогда 2-3 процента цпу на 120кппс ФД.

[Умник]

спокойно, ему-то что будет, это ж бинат 1-в-1. 1 внутренний ип = 1 внешнему.

Ну и что? Ведь 1 внутренний ип != 1 внешнему. Он подменяется. А FTP отдает IP-адрес на который нужно подключаться другой стороне в payload-е пакета. Без ip_nat_conntrack не будет такая схема работать.

[Гость_timmi_*]

Умник: Ну и что? Ведь 1 внутренний ип != 1 внешнему. Он подменяется. А FTP отдает IP-адрес на который нужно подключаться другой стороне в payload-е пакета. Без ip_nat_conntrack не будет такая схема работать.

это один из поводов почему PAT. скажем так - при до 10 гигабит трафа(внешнего) в пике и схеме /23 внутренних в один внешний проблем с ментами нет, точности их запросов (до минуты) вполне хватает обученным операторам биллинга выдавать хулиганов. это около 200тысяч клиентов и около 80 одновременно в онлайне.
Обслуживают это(пока) линуксовые нат-боксы до 3 гигабит на сервак, с учетом оверхеда в виде etherchannel. Желающим пробовать etherchannel на нат - предостерегу, это решает вопросы с неравномерной загрузкой интерфейсов когда гиговых уже не хватает, но достаточно накладно. один и тот же нат-бокс с эзерченнелом ведет себя прилично до 3 -3.2 гигабитов при чуть более пары миллионов коннтраков, при этом без эзерченнела но в нагрузку с миллионом правил на шейп(и самим шейпом) прокачивает до 4 гигабит. Без задротского тюнинга, по мелочи. Без задротского - благодаря тому, что получить HP DL380G5 c необходимым количеством интелловых сетевух для масштабирования в нашей конторе - вопрос полудня. Если железо дают - фигли изьебываться?

[shicoy]

Интересно как прошло тестирование Radisys ENP-2611 ?

[cmhungry]

Интересно как прошло тестирование Radisys ENP-2611 ?

никак =( куда-то его перевозчики замотали