Разовая работа - настройка NAT сервера провайдеру под ключ

[creed]

Добрый день,

 

Ищется желающий проделать разовую работу за денежное вознаграждение.

Задача настроить NAT сервер провайдеру на базе Linux с возможностью пропустить и общейпить до 10Гбит трафика.

 

Т.е. накатить ось, настроить и передать HDD/img с готовым, объяснить как пользоваться.

Либо если уже есть готовое производительное решение способное переварить до 10Гбит трафика - поделиться им, объяснить как пользоваться.

 

Дано:

1) ISP, около 5000 юзеров, 5-6 Гбит трафика.

2) cервер конфигурации 2x Xeon E5620, 16GB ОЗУ, сетевая карта Intel X520-DA2

Нужно - настроить NAT-сервер с функционалом

• шейпинг скорости по спискам ip
• netflow sensor
• RKN-block
• NAT

 

Подробности:

- ограничивать доступ юзерам. если srcip есть в таблице, допустим 600, то идем дальше. если нет - dnat'им на NGINX порт 8081 где написано "оплати инет")
- то же самое для списков rkn. если dstip нет в ipset то пропускаем дальше. если есть dnat'им на NGINX порт 8082 где написано "нене, ты сюда не ходи")
- шейпить скорость на основе ipv4 (если srcip присутствует в одной таблице, то шейпим ему полосу допустим 5Mbit-IN/5Mbit-OUT. для другой таблицы - будет другая скорость, для третьей - своя..)
в нужные таблицы фаервола биллинг будет сам добавлять айпишники через ssh скриптом
создавать таблицы с настройками скорости будем сами ручками
- зашейпленное должен видеть netflow сенсор и выливать нетфлоу на некий адрес,некий порт (где уже запущен netflow v5 коллектор и собираются логи кто куда ходил)
- ну и в самом конце для серых ip делаем source-nat на некий пул реальников
- дефолтный статик-роут далее -> в мир.

 

Предложения и контакты можно в личку, либо 89661129833@mail.ru

Спасибо

 

[sdy_moscow]

3 часа назад, creed сказал:

2x Xeon E5620, 16GB ОЗУ, сетевая карта Intel X520-DA2

 

3 часа назад, creed сказал:

решение способное переварить до 10Гбит

 

3 часа назад, creed сказал:

то же самое для списков rkn.

ооооочень сомнительно, что удастся на таком конфиге.

[creed]

1 час назад, sdy_moscow сказал:

 

 

ооооочень сомнительно, что удастся на таком конфиге.

С dpdk? Ну процессоры можно пожирнее поставить, ченить типа X5670-X5690, очереди по ядрам прибить

Либо пару машин таких взять и нагрузку с помощью ospf разбалансировать.

 

Заказчику по сути нужно получить готовое решение, куда он будет загружать ip адреса в нужные таблицы фаервола (тарифы, ркн, вкл/выкл инета).

 

Edited May 26, 2021 by creed

[EShirokiy]

1 час назад, sdy_moscow сказал:

ооооочень сомнительно, что удастся на таком конфиге.

Подтверждаю, надо хотя бы E5-2650 или что то получше. Если ткнуть пальцем в небо, то могу предположить, что 5-6 гигов будет пределом для E5620.

А так решение: Accel-ppp + научить биллинг пользоваться этим брасом. В качестве блокировщика для РКН поставить рядом zapretservice.

[creed]

2 минуты назад, EShirokiy сказал:

Подтверждаю, надо хотя бы E5-2650 или что то получше. Если ткнуть пальцем в небо, то могу предположить, что 5-6 гигов будет пределом для E5620.

Машину смогут заменить на более мощную. Нужно софт настроить

[titan]

On 5/26/2021 at 4:31 PM, creed said:

- то же самое для списков rkn.

Это делается специальным софтом, чтобы 100% все блокировать.

По вашей хотелке, это BRAS + DPI, а в будущем и СОРМ понадобиться.

[myst]

В 28.05.2021 в 19:35, titan сказал:

Это делается специальным софтом, чтобы 100% все блокировать.

По вашей хотелке, это BRAS + DPI, а в будущем и СОРМ понадобиться.

сорм можно арендовать у вышестоящего аплинка, а вот DPIить на тазике да ещё и с натом такое умаешься.

[ichthyandr]

В 10.06.2021 в 05:22, myst сказал:

сорм можно арендовать у вышестоящего аплинка

хз, на 5-6Г да еще под йоровую - ценник будет мама не горюй