Dyr Опубликовано 5 июня, 2012 · Жалоба А у вас стэйты именно NAT'овые? Я когда для всех остальных правил сделал "no state", их (states) количество существенно уменьшилось, что соответственно, дало возможность больше пропускать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
2ihi Опубликовано 16 августа, 2012 (изменено) · Жалоба Мде, народ под бордер с гигом трафа 5650*2 ставит :) С таким подходом natd можно заставить прокидывать гигабит :) Трудится 2*5460, pf nat + ng_netflow + сенсоры + lagg + мелочевка под 8.2 суммарно до 300м доходило, при этом нагрузка 60% на все, дрова на ем яндекс. Сейчас пробую 9ку.. Пока ничего не могу сказать. Есть странности. Думаю, смотрю, изучаю. пробовал все, от natd до pfnat, имхо, имхо, pf самый быстрый. Правда ipfw nat пробовал на его заре и может с тех пор много чего изменилось, но сам фаервол pf мне чет от раза к разу как я в него лезу нравится больше и больше.. И хрен с ним, с 1 ядром, все задачи которые на него возложены он выполняет на ура. Шейпер на другой сервачине и там пока трудится ipfw + dummy + тот же pfnat, всё устраивает, а лучшее враг хорошему, работает - не лезу :) +PF NAT. боже, какую старую тему я откопал... Изменено 16 августа, 2012 пользователем 2ihi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
apm Опубликовано 22 марта, 2014 · Жалоба Тема старая, но видимо вечная. Что то я на 9.1 и ngnat регулярно натыкаюсь на глюки какие то. Придется что то менять. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Hawk128 Опубликовано 22 марта, 2014 · Жалоба Сам долго мучился. На 9-й ветке лучше всего показал себя pf. Но в результате все равно НАТ вынес на линух - на порядок лучше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
apm Опубликовано 23 марта, 2014 · Жалоба А как православно будет это на линухе сделать? У меня довольно сложные правила. разного размера сети мапятся в разные ипы, научите, как? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Hawk128 Опубликовано 23 марта, 2014 · Жалоба Сам НАТ через iptables завернуть можно весьма гибко и по всякому. Сложности прочие можно и на брасе в виде фри оставить. В таком случае минимальная переделка нужна будет. Если решите разделять - пишите что не получается - помогу чем смогу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
911 Опубликовано 23 марта, 2014 · Жалоба как в iptables nat в пул ip-адресов реализовать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 23 марта, 2014 · Жалоба Но в результате все равно НАТ вынес на линух - на порядок лучше. Факт :( Пришлось унести NAT с NASов на киске и прочих mpd на отдельный комп под убунтей, и поднять bgp меж ними... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roysbike Опубликовано 23 марта, 2014 · Жалоба как в iptables nat в пул ip-адресов реализовать? делаю так, $IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.0.0/23 -j SNAT --to-source 31.210.x.1 $IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.2.0/23 -j SNAT --to-source 31.210.x.2 $IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.4.0/23 -j SNAT --to-source 31.210.x.3 $IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.6.0/23 -j SNAT --to-source 31.210.x.4 $IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.8.0/23 -j SNAT --to-source 31.210.x.5 $IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.10.0/23 -j SNAT --to-source 31.210.x.6 и тд Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 23 марта, 2014 · Жалоба делаю так, $IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.0.0/23 -j SNAT --to-source 31.210.x.1 $IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.2.0/23 -j SNAT --to-source 31.210.x.2 $IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.4.0/23 -j SNAT --to-source 31.210.x.3 $IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.6.0/23 -j SNAT --to-source 31.210.x.4 $IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.8.0/23 -j SNAT --to-source 31.210.x.5 $IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.10.0/23 -j SNAT --to-source 31.210.x.6 и тд А можно и просто -j SNAT --to-source 31.210.x.1-31.210.x.6 --persistent Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roysbike Опубликовано 23 марта, 2014 · Жалоба делаю так, $IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.0.0/23 -j SNAT --to-source 31.210.x.1 $IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.2.0/23 -j SNAT --to-source 31.210.x.2 $IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.4.0/23 -j SNAT --to-source 31.210.x.3 $IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.6.0/23 -j SNAT --to-source 31.210.x.4 $IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.8.0/23 -j SNAT --to-source 31.210.x.5 $IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.10.0/23 -j SNAT --to-source 31.210.x.6 и тд А можно и просто -j SNAT --to-source 31.210.x.1-31.210.x.6 --persistent Скажите , а если использовать --persistent , то внеш ip у клиента будет меняться или он будет статический? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
boco Опубликовано 23 марта, 2014 · Жалоба если использовать --persistent , то внеш ip у клиента будет меняться или он будет статический? http://forum.nag.ru/forum/index.php?showtopic=52212 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 23 марта, 2014 · Жалоба roysbike IP будет меняться для разных destination по идее. Проблем это не вызывает, в пределах одного dst хоста IP будет постоянен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
boco Опубликовано 23 марта, 2014 · Жалоба roysbike IP будет меняться для разных destination по идее. Проблем это не вызывает, в пределах одного dst хоста IP будет постоянен. не будет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 9 сентября, 2014 · Жалоба +1. В случае с persistent src(nat) ip не является функцией dst Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bogdan_WIFI Опубликовано 26 ноября, 2014 · Жалоба Кто-то сталкивался с проблемой ната ? pf nat freebsd 10 NetXtreme II BCM5709 Gigabit Ethernet при 100 мег трафика уже есть деградация, потеря пакетов, тупят страницы. Что можете порекомендовать ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 29 декабря, 2014 · Жалоба pf nat freebsd 10 NetXtreme II BCM5709 Gigabit Ethernet при 100 мег трафика уже есть деградация, потеря пакетов, тупят страницы. Обновить БИОС и фирмваре сетевой. Потом выключить TSO и всякие проверки сумм на сетевой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
caz Опубликовано 9 апреля, 2015 · Жалоба Господа, а как сейчас обстоят дела с NAT на PF в FreeBSD 10/11 , он проде как теперь там SMP-friendly? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 10 апреля, 2015 · Жалоба В 11 точно работает, в 10.1 скорее всего тоже работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
caz Опубликовано 10 апреля, 2015 · Жалоба В 11 точно работает, в 10.1 скорее всего тоже работает. а с производительностью как? скажем 5-7Gbit/s in+out на 1 6-и ядерном E5-1650v3 вытянет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 10 апреля, 2015 · Жалоба В 11 точно работает, в 10.1 скорее всего тоже работает. а с производительностью как? скажем 5-7Gbit/s in+out на 1 6-и ядерном E5-1650v3 вытянет? Мало данных. Помимо толщины канала, нужны pps, кол-во трансляций, кол-во реальных IP. Ну и нужен тюнинг сетевых карт. Если 10Г сетевые, то там 8 очередей и будут плохо балансироваться с 6 ядрами проца. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 10 апреля, 2015 · Жалоба 8 очередей и будут плохо балансироваться с 6 ядрами проца. 6 очередей из 8 что, на бсд нельзя заюзать? В лине вменьшую сторону очереди крутятся на ура, драйвер вроде тот же. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
caz Опубликовано 10 апреля, 2015 · Жалоба В 11 точно работает, в 10.1 скорее всего тоже работает. а с производительностью как? скажем 5-7Gbit/s in+out на 1 6-и ядерном E5-1650v3 вытянет? Мало данных. Помимо толщины канала, нужны pps, кол-во трансляций, кол-во реальных IP. Ну и нужен тюнинг сетевых карт. Если 10Г сетевые, то там 8 очередей и будут плохо балансироваться с 6 ядрами проца. 1М - 1,3М трансляций, PPS 500К-800К на порт. на сколько я помню, число очередей, раньше, можно было задать желаемое колличество, поковыряв исходник драйвера. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 20 апреля, 2015 · Жалоба Вроде бы тоже по теме, на серверах для NAT в BIOS сейчас желательно ли включать HT и Inter® TurboMode Tech ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 20 апреля, 2015 · Жалоба Турбо не знаю, скорее всего даже полезно, а хипертрединг вреден на маршрутизаторах. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...