Перейти к содержимому
Калькуляторы

iptables сколько nat трансляций возможно на одном внешнем ip

Здравствуйте уважаемые форумчане!

Подскажите какое максимальное количество nat трансляций возможно организовать с одного внешнего ip в Linux, если использовать iptables snat ?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

65535 TCP + 65535 UDP

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Alex/AT вы не путаете с DNAT (PAT)?

Изменено пользователем guеst

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А какая разница src или dst?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, Alex/AT сказал:

65535 TCP + 65535 UDP

Если я не ошибаюсь, то TCP больше в случае conntrack, там src-dst ip/port учитываются.

Но нужно перечитать мануалы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

pppoetest ну в общем и целом никакой :)

но на практике DNAT в большинстве случаев используется чтобы с 1 белого IP раскидать сервисы (т.е. PAT) на внутренние серые ip

и в этом случае тогда да 

Цитата

65535 TCP + 65535 UDP

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Бред про 65к. У conntrack же dst учитывается, поэтому и 1000 абонов можно спокойно посадить, только капчи и баны будут, но это другая история

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

9 часов назад, s.lobanov сказал:

Бред про 65к. У conntrack же dst учитывается, поэтому и 1000 абонов можно спокойно посадить, только капчи и баны будут, но это другая история

Хотел было с Серёгой поспорить, но

 

На циске действительно каждой трансляции отдельный src port (по крайней мере нас так учили)

Если на линуксе conntrack по 4 параметрам может принимать решение то это конечно круто.

 

Но я бы сказал что внедряйте уже ipv6 и такие глупые вопросы не будут вас беспокоить

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

$ cat /proc/sys/net/netfilter/nf_conntrack_count
98623

это где-то на 1 тыс активных клиентов. В ЧНН показатель поднимается раза в два. Так что да, 65к/65к это не про линуха.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, действительно SRC/DST, так что с 65535 TCP это я мимо тазика, можно и больше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в самом деле, лимит 64К per-dst может дать о себе знать, например при 10К юзерах, если у вас запросы, к DNS проходят через NAT. т.е. допустим в ЧНН все ломятся на 8.8.8.8:udp/53 и если у вас онлайн 10К пользователей за один паблик IP, то сгенерить по 7 dns-запросов они легко смогут в пределах udp nat-connection timeout и тогда ресурса порта не хватит

 

ipv6 это хорошо, но дырка на ipv4 все равно нужна и не важно что это будет nat64 или nat44, поэтому вопрос топикстартера очень даже актуально

 

Вообщем до 10К абонов сажать за один IP вполне можно при условии наличия ipv6, без ipv6 будет слишком много жалоб на капчи и баны

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10к за 1 IP... помнится что постоянно выть про баны-капчи перестали когда стали сажать не более 100-150 чел на IP... ~1000 на 1 IP в корпорате с жесткий антивиром и политикой "не ставить хрени" время от времени всеравно на капчу там-сям вываливать умудряются. Похоже просто часто ищут, и счетчики в гуглах срабатывают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

мой опыт /26 на один белый, но это было без ipv6. С ipv6 можно больше заталкивать ибо все монстры (гугл, фейсбук и прочие) давно работают по ipv6 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всем спасибо за прояснение ситуации и за советы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.