Сиськовед Опубликовано 10 ноября, 2017 · Жалоба Здравствуйте уважаемые форумчане! Подскажите какое максимальное количество nat трансляций возможно организовать с одного внешнего ip в Linux, если использовать iptables snat ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex/AT Опубликовано 10 ноября, 2017 · Жалоба 65535 TCP + 65535 UDP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
guеst Опубликовано 10 ноября, 2017 (изменено) · Жалоба Alex/AT вы не путаете с DNAT (PAT)? Изменено 10 ноября, 2017 пользователем guеst Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 10 ноября, 2017 · Жалоба А какая разница src или dst? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MMM Опубликовано 10 ноября, 2017 · Жалоба 1 час назад, Alex/AT сказал: 65535 TCP + 65535 UDP Если я не ошибаюсь, то TCP больше в случае conntrack, там src-dst ip/port учитываются. Но нужно перечитать мануалы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
guеst Опубликовано 10 ноября, 2017 · Жалоба pppoetest ну в общем и целом никакой :) но на практике DNAT в большинстве случаев используется чтобы с 1 белого IP раскидать сервисы (т.е. PAT) на внутренние серые ip и в этом случае тогда да Цитата 65535 TCP + 65535 UDP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 10 ноября, 2017 · Жалоба Бред про 65к. У conntrack же dst учитывается, поэтому и 1000 абонов можно спокойно посадить, только капчи и баны будут, но это другая история Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 10 ноября, 2017 · Жалоба 9 часов назад, s.lobanov сказал: Бред про 65к. У conntrack же dst учитывается, поэтому и 1000 абонов можно спокойно посадить, только капчи и баны будут, но это другая история Хотел было с Серёгой поспорить, но На циске действительно каждой трансляции отдельный src port (по крайней мере нас так учили) Если на линуксе conntrack по 4 параметрам может принимать решение то это конечно круто. Но я бы сказал что внедряйте уже ipv6 и такие глупые вопросы не будут вас беспокоить Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 11 ноября, 2017 · Жалоба $ cat /proc/sys/net/netfilter/nf_conntrack_count 98623 это где-то на 1 тыс активных клиентов. В ЧНН показатель поднимается раза в два. Так что да, 65к/65к это не про линуха. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex/AT Опубликовано 11 ноября, 2017 · Жалоба Да, действительно SRC/DST, так что с 65535 TCP это я мимо тазика, можно и больше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 11 ноября, 2017 · Жалоба в самом деле, лимит 64К per-dst может дать о себе знать, например при 10К юзерах, если у вас запросы, к DNS проходят через NAT. т.е. допустим в ЧНН все ломятся на 8.8.8.8:udp/53 и если у вас онлайн 10К пользователей за один паблик IP, то сгенерить по 7 dns-запросов они легко смогут в пределах udp nat-connection timeout и тогда ресурса порта не хватит ipv6 это хорошо, но дырка на ipv4 все равно нужна и не важно что это будет nat64 или nat44, поэтому вопрос топикстартера очень даже актуально Вообщем до 10К абонов сажать за один IP вполне можно при условии наличия ipv6, без ipv6 будет слишком много жалоб на капчи и баны Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 11 ноября, 2017 · Жалоба 10к за 1 IP... помнится что постоянно выть про баны-капчи перестали когда стали сажать не более 100-150 чел на IP... ~1000 на 1 IP в корпорате с жесткий антивиром и политикой "не ставить хрени" время от времени всеравно на капчу там-сям вываливать умудряются. Похоже просто часто ищут, и счетчики в гуглах срабатывают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 12 ноября, 2017 · Жалоба я обычно начу не более /25 в один белый ип Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 13 ноября, 2017 · Жалоба мой опыт /26 на один белый, но это было без ipv6. С ipv6 можно больше заталкивать ибо все монстры (гугл, фейсбук и прочие) давно работают по ipv6 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Сиськовед Опубликовано 14 ноября, 2017 · Жалоба Всем спасибо за прояснение ситуации и за советы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...