rus-p Posted April 28, 2006 Posted April 28, 2006 На FreeBSD6.0 Какой диапазон исходящих портов использует PF под NAT? Есть ли что-то подобное ipnat - portmap tcp/udp 10000:65000, или можно регулировать через sysctl стандартными portrange.last, portrange.first ? Какой параметр в конфиге отвечает за максимальное число записей в таблице трансляции? Будет ли pfsync обмениваться информацией из таблицы трансляций или только записями из таблицы состояний (keep state)? Вставить ник Quote
jab Posted April 29, 2006 Posted April 29, 2006 #!/bin/sh for ANY in `jot 5`; do man pf.conf ; done Вставить ник Quote
Saenara Posted April 29, 2006 Posted April 29, 2006 http://www.openbsd.org/faq/pf/index.html Вставить ник Quote
tim777 Posted May 2, 2006 Posted May 2, 2006 #!/bin/sh for ANY in `jot 5`; do man pf.conf ; done 2 jab, промолчал бы - умнее выглядел. Вставить ник Quote
rus-p Posted May 2, 2006 Author Posted May 2, 2006 Вобщем вопрос снялся только по поводу исходящих портов, каюсь не заметил сначала. Но с остальным пока непонятки. При чтении мануала создалось впечатление, что pf не делает разницы между таблицей трансляции и таблицей состояний и размер этой аггрегированной таблицы регулируется через set limit {states X}, но на стенде при X=1 записи трансляции создаются без ограничений, что не так? По третьему вопросу четкого ответа ни в мануале, не в FAQ-е тоже нет. Кстати, тут пролетало сообщение, что люди смогли выжать из кернел-нат, где-то 250 Mbit/s на 64 битной шине, с отключенным POLLING (проблемы с ним были), я ради интереса включил его и на 32 битной шине потоком в 7kpps загрузка = 0% Это если SMP ядро собрать на 6.0. Вообще уменьшение загрузки от прерываний процессора от пуллинга без SMP где-то в разы, с SMP помоему в десятки раз. Если это еще и под реальной нагрузкой заведется вообще будет отличное решение. Вставить ник Quote
Saenara Posted May 2, 2006 Posted May 2, 2006 man pf.conf TRANSLATION Translation rules modify either the source or destination address of the packets associated with a stateful connection. A stateful connection is automatically created to track packets matching such a rule as long as they are not blocked by the filtering section of pf.conf. Вставить ник Quote
cs Posted May 2, 2006 Posted May 2, 2006 set limit { states 1000000, frags 5000 } совершенно точно работает. Кстати, тут пролетало сообщение, что люди смогли выжать из кернел-нат, где-то 250 Mbit/s на 64 битной шине, с отключенным POLLING (проблемы с ним были), я ради интереса включил его и на 32 битной шине потоком в 7kpps загрузка = 0% Это если SMP ядро собрать на 6.0. Вообще уменьшение загрузки от прерываний процессора от пуллинга без SMP где-то в разы, с SMP помоему в десятки раз. Если это еще и под реальной нагрузкой заведется вообще будет отличное решение. Именно с SMP и начнутся приколы :( погугли на предмет mp_safenet а он как раз за собой и тянет POLLING. Проблемма на 6.0 еще точно была. PS. Все это начинается на больших скоростях > 100mbit/s Вставить ник Quote
rus-p Posted May 3, 2006 Author Posted May 3, 2006 Спасибо за ценный совет! Возвращаясь к невозможности задать жесткий лимит на количество записей в state-table pfctl -s memory states hard limit 5000 pfctl -s info Status: Enabled for 1 days 22:40:32 Debug: Urgent Hostid: 0x3c6c158d State Table Total Rate current entries 8123 ..... Как это понимать? Вставить ник Quote
rus-p Posted May 5, 2006 Author Posted May 5, 2006 Кстати, кто использовал CARP + em(4) драйвер на FreeBSD 6.0 Мне не удалось достичь стабильных результатов, т.к. переодически появляющиеся сообщения мак такой-то(backup в связке) is using my IP address, т.е. видимо при некоторых условиях backup отвечает клиенту. Что приводит в неработоспособность подключенных клиентов к этому карпу, поскольку они привязываются на мак Backup-а а сам бекап в мастера не превращается. Сначала грешил на виланы, переделал все в физику, то же самое. Это происходит при некотором стечении обстоятельств и не всегда. Плюс ко всему advskew через rc.conf не конфигурируется. Не видать видно счастья с файловером, так и придется жить до случая. Вставить ник Quote
rus-p Posted May 5, 2006 Author Posted May 5, 2006 Вот кое-что нашел http://unix.derkeiler.com/Mailing-Lists/Fr...05-11/0167.html Видимо у меня как раз такой случай, надо проверить. Вставить ник Quote
cs Posted May 10, 2006 Posted May 10, 2006 # pkg_info arprelease-1.2 Information for arprelease-1.2: Comment: Libnet tool to flush arp cache entries from devices (eg. routers) Description: This program sends out a custom ARP REQUEST packet with the hardware and protocol address information of the sending host to flush the arp cache for a given IP on Cisco routers. Вставить ник Quote
rus-p Posted May 11, 2006 Author Posted May 11, 2006 cs, не совсем понял, если у Вас freevrrp, то функциональность arprelease, уже включена в пакет, или Вы про CARP, или дополнительно шлете пакет в случае с freevrrp? У меня сложилось мнение, что надежность такого составного решения, еще ниже чем одиночной машины, т.к. на стенде, что с CARP-ом, что с freevrrp глюки случались, и L3 свитч либо клиенты-FreeBSD маршрутизаторы, не перестраивали иногда таблицу IP-MAC. Вставить ник Quote
cs Posted May 11, 2006 Posted May 11, 2006 Он работает совместно с freevrrp и дополнительно шлет пакет. В дальнейшем переделано на скан ifconfig и принудительное обьявление в режиме демона. Действительно неочень красиво, но работает вполне надежно. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.