Сиськовед Posted November 10, 2017 Posted November 10, 2017 Здравствуйте уважаемые форумчане! Подскажите какое максимальное количество nat трансляций возможно организовать с одного внешнего ip в Linux, если использовать iptables snat ? Вставить ник Quote
guеst Posted November 10, 2017 Posted November 10, 2017 (edited) Alex/AT вы не путаете с DNAT (PAT)? Edited November 10, 2017 by guеst Вставить ник Quote
pppoetest Posted November 10, 2017 Posted November 10, 2017 А какая разница src или dst? Вставить ник Quote
MMM Posted November 10, 2017 Posted November 10, 2017 1 час назад, Alex/AT сказал: 65535 TCP + 65535 UDP Если я не ошибаюсь, то TCP больше в случае conntrack, там src-dst ip/port учитываются. Но нужно перечитать мануалы. Вставить ник Quote
guеst Posted November 10, 2017 Posted November 10, 2017 pppoetest ну в общем и целом никакой :) но на практике DNAT в большинстве случаев используется чтобы с 1 белого IP раскидать сервисы (т.е. PAT) на внутренние серые ip и в этом случае тогда да Цитата 65535 TCP + 65535 UDP Вставить ник Quote
s.lobanov Posted November 10, 2017 Posted November 10, 2017 Бред про 65к. У conntrack же dst учитывается, поэтому и 1000 абонов можно спокойно посадить, только капчи и баны будут, но это другая история Вставить ник Quote
zi_rus Posted November 10, 2017 Posted November 10, 2017 9 часов назад, s.lobanov сказал: Бред про 65к. У conntrack же dst учитывается, поэтому и 1000 абонов можно спокойно посадить, только капчи и баны будут, но это другая история Хотел было с Серёгой поспорить, но На циске действительно каждой трансляции отдельный src port (по крайней мере нас так учили) Если на линуксе conntrack по 4 параметрам может принимать решение то это конечно круто. Но я бы сказал что внедряйте уже ipv6 и такие глупые вопросы не будут вас беспокоить Вставить ник Quote
taf_321 Posted November 11, 2017 Posted November 11, 2017 $ cat /proc/sys/net/netfilter/nf_conntrack_count 98623 это где-то на 1 тыс активных клиентов. В ЧНН показатель поднимается раза в два. Так что да, 65к/65к это не про линуха. Вставить ник Quote
Alex/AT Posted November 11, 2017 Posted November 11, 2017 Да, действительно SRC/DST, так что с 65535 TCP это я мимо тазика, можно и больше. Вставить ник Quote
s.lobanov Posted November 11, 2017 Posted November 11, 2017 в самом деле, лимит 64К per-dst может дать о себе знать, например при 10К юзерах, если у вас запросы, к DNS проходят через NAT. т.е. допустим в ЧНН все ломятся на 8.8.8.8:udp/53 и если у вас онлайн 10К пользователей за один паблик IP, то сгенерить по 7 dns-запросов они легко смогут в пределах udp nat-connection timeout и тогда ресурса порта не хватит ipv6 это хорошо, но дырка на ipv4 все равно нужна и не важно что это будет nat64 или nat44, поэтому вопрос топикстартера очень даже актуально Вообщем до 10К абонов сажать за один IP вполне можно при условии наличия ipv6, без ipv6 будет слишком много жалоб на капчи и баны Вставить ник Quote
st_re Posted November 11, 2017 Posted November 11, 2017 10к за 1 IP... помнится что постоянно выть про баны-капчи перестали когда стали сажать не более 100-150 чел на IP... ~1000 на 1 IP в корпорате с жесткий антивиром и политикой "не ставить хрени" время от времени всеравно на капчу там-сям вываливать умудряются. Похоже просто часто ищут, и счетчики в гуглах срабатывают. Вставить ник Quote
GrandPr1de Posted November 12, 2017 Posted November 12, 2017 я обычно начу не более /25 в один белый ип Вставить ник Quote
s.lobanov Posted November 13, 2017 Posted November 13, 2017 мой опыт /26 на один белый, но это было без ipv6. С ipv6 можно больше заталкивать ибо все монстры (гугл, фейсбук и прочие) давно работают по ipv6 Вставить ник Quote
Сиськовед Posted November 14, 2017 Author Posted November 14, 2017 Всем спасибо за прояснение ситуации и за советы. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.