Перейти к содержимому
Калькуляторы

pf(как нат)+ipfw(как firewall) на FreeBSD

ipnat согнется когда будет сесий >20k будет дропать пакеты

natd похоронит машину еще быстрее (userland)

щас гоняем nat от pf в среднем от 40k до 80к записей полет нормальный...

в pf.conf: set optimization aggressive и

обязательно нужно включать polling, без него машинка загнется от interrupt

Гм... то ли лыжи не едут...

Толи я не догоняю :)

$ipnat -s

inuse 205706

Ничего пока ттт не теряется :)
Изменено пользователем necrozz

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

этож простите на сколько юзеров онлайн, аж 200k сессий?

 

да и укажите пожалуйста конфиг машины и ее загрузку.

Изменено пользователем [GP]Villi

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ipnat согнется когда будет сесий >20k будет дропать пакеты

natd похоронит машину еще быстрее (userland)

щас гоняем nat от pf в среднем от 40k до 80к записей полет нормальный...

в pf.conf: set optimization aggressive и

обязательно нужно включать polling, без него машинка загнется от interrupt

Недавно заменил natd на pf nat, загрузка проца упала, но при этом и пакеты через эту машину стали ходить с задержкой в часы пик, при кол-ве записей 40к. В pf.conf всего 3 строчки, натирование, запрет некоторых портов и set optimization normal, только что поменял на aggressive, но мне кажется не в этом дело. Когда был natd, через эту машину нормально ходило 36 мегабайт в секунду, сейчас максимум 28.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ОК

У нас 2 дня - тоже полет нормальный

pf.conf

no nat on em0 from any to 10.0.0.0/8

no nat on em0 from any to 172.16.0.0/12

no nat on em0 from any to 192.168.0.0/24

nat on em0 from 10.68.0.0/16 to any -> xxx.xxx.xxx.xxx/31 source-hash

 

Сейчас думаю переписать правила на роутерах под pf.

 

у меня отчего-тот такая схема не работает

правда пул /24 адрес xxx.xxx.xxx.xxx/31

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

у меня отчего-тот такая схема не работает

правда пул /24 адрес xxx.xxx.xxx.xxx/31

Напишите, как именно у Вас прописано это правило. Что именно не работает? Присутствует ли в таблице маршрутизации других роутеров маршрут на этот пул /24, указывающий на данный роутер?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

nat pass on $ext_if from 192.168.0.0/16 to any -> ***.***.***.0/24 source-hash

 

не работает Нат

 

присутствовал

----------------------------

заработало лишь после того как привязал один ИП из этого пула алиасом к локальному интерфейсу

но что-то мне подсказывает что это не лучшее решение

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

nat pass on $ext_if from 192.168.0.0/16 to any -> ***.***.***.0/24 source-hash

 

не работает Нат

 

присутствовал

----------------------------

заработало лишь после того как привязал один ИП из этого пула алиасом к локальному интерфейсу

но что-то мне подсказывает что это не лучшее решение

uname -a?

на 6.1 без всяких присваиваний работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

nat pass on $ext_if from 192.168.0.0/16 to any -> ***.***.***.0/24 source-hash

 

не работает Нат

 

присутствовал

----------------------------

заработало лишь после того как привязал один ИП из этого пула алиасом к локальному интерфейсу

но что-то мне подсказывает что это не лучшее решение

uname -a?

на 6.1 без всяких присваиваний работает.

FreeBSD gate.crystal.in.ua 7.1-RELEASE FreeBSD 7.1-RELEASE #1: Wed Feb 25 14:59:39 EET 2009 root@gate.local:/usr/src/sys/amd64/compile/NODENY amd64

$

 

P.S. А какой канал, на сколько человек прогоняет ваш нат роутер?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в пиках видел 50мбит, там больше не надо

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.