[rus-p]

На FreeBSD6.0

 

Какой диапазон исходящих портов использует PF под NAT?

Есть ли что-то подобное ipnat - portmap tcp/udp 10000:65000, или можно регулировать через sysctl стандартными portrange.last, portrange.first ?

 

Какой параметр в конфиге отвечает за максимальное число записей в таблице трансляции?

 

Будет ли pfsync обмениваться информацией из таблицы трансляций или только записями из таблицы состояний (keep state)?

[jab]

#!/bin/sh

 

for ANY in `jot 5`; do man pf.conf ; done

[Saenara]

http://www.openbsd.org/faq/pf/index.html

[tim777]

#!/bin/sh

 

for ANY in `jot 5`; do man pf.conf ; done

 

2 jab, промолчал бы - умнее выглядел.

[rus-p]

Вобщем вопрос снялся только по поводу исходящих портов, каюсь не заметил сначала. Но с остальным пока непонятки.

При чтении мануала создалось впечатление, что pf не делает разницы между таблицей трансляции и таблицей состояний и размер этой аггрегированной таблицы регулируется через set limit {states X}, но на стенде при X=1 записи трансляции создаются без ограничений, что не так?

По третьему вопросу четкого ответа ни в мануале, не в FAQ-е тоже нет.

 

Кстати, тут пролетало сообщение, что люди смогли выжать из кернел-нат, где-то 250 Mbit/s на 64 битной шине, с отключенным POLLING (проблемы с ним были), я ради интереса включил его и на 32 битной шине потоком в 7kpps загрузка = 0%

Это если SMP ядро собрать на 6.0. Вообще уменьшение загрузки от прерываний процессора от пуллинга без SMP где-то в разы, с SMP помоему в десятки раз. Если это еще и под реальной нагрузкой заведется вообще будет отличное решение.

[Saenara]

man pf.conf

TRANSLATION

    Translation rules modify either the source or destination address of the

    packets associated with a stateful connection.  A stateful connection is

    automatically created to track packets matching such a rule as long as

    they are not blocked by the filtering section of pf.conf.

[rus-p]

Сенкс

[cs]

set limit { states 1000000, frags 5000 } совершенно точно работает.

Кстати, тут пролетало сообщение, что люди смогли выжать из кернел-нат, где-то 250 Mbit/s на 64 битной шине, с отключенным POLLING (проблемы с ним были), я ради интереса включил его и на 32 битной шине потоком в 7kpps загрузка = 0%

Это если SMP ядро собрать на 6.0. Вообще уменьшение загрузки от прерываний процессора от пуллинга без SMP где-то в разы, с SMP помоему в десятки раз. Если это еще и под реальной нагрузкой заведется вообще будет отличное решение.

Именно с SMP и начнутся приколы :(

погугли на предмет mp_safenet а он как раз за собой и тянет POLLING.

Проблемма на 6.0 еще точно была.

PS. Все это начинается на больших скоростях > 100mbit/s

[rus-p]

Спасибо за ценный совет!

 

Возвращаясь к невозможности задать жесткий лимит на количество записей в state-table

 

pfctl -s memory

states hard limit 5000

 

pfctl -s info

Status: Enabled for 1 days 22:40:32 Debug: Urgent

 

Hostid: 0x3c6c158d

 

State Table Total Rate

current entries 8123

.....

 

Как это понимать?

[rus-p]

Кстати, кто использовал CARP + em(4) драйвер на FreeBSD 6.0

Мне не удалось достичь стабильных результатов, т.к. переодически появляющиеся сообщения мак такой-то(backup в связке) is using my IP address, т.е. видимо при некоторых условиях backup отвечает клиенту.

 

Что приводит в неработоспособность подключенных клиентов к этому карпу, поскольку они привязываются на мак Backup-а а сам бекап в мастера не превращается.

Сначала грешил на виланы, переделал все в физику, то же самое.

Это происходит при некотором стечении обстоятельств и не всегда.

Плюс ко всему advskew через rc.conf не конфигурируется.

Не видать видно счастья с файловером, так и придется жить до случая.

[rus-p]

Вот кое-что нашел http://unix.derkeiler.com/Mailing-Lists/Fr...05-11/0167.html

Видимо у меня как раз такой случай, надо проверить.

[cs]

# pkg_info arprelease-1.2

Information for arprelease-1.2:

 

Comment:

Libnet tool to flush arp cache entries from devices (eg. routers)

 

 

Description:

This program sends out a custom ARP REQUEST packet with the hardware and

protocol address information of the sending host to flush the arp cache

for a given IP on Cisco routers.

[rus-p]

cs, не совсем понял, если у Вас freevrrp, то функциональность arprelease, уже включена в пакет, или Вы про CARP, или дополнительно шлете пакет в случае с freevrrp?

 

У меня сложилось мнение, что надежность такого составного решения, еще ниже чем одиночной машины, т.к. на стенде, что с CARP-ом, что с freevrrp глюки случались, и L3 свитч либо клиенты-FreeBSD маршрутизаторы, не перестраивали иногда таблицу IP-MAC.

[cs]

Он работает совместно с freevrrp и дополнительно шлет пакет.

В дальнейшем переделано на скан ifconfig и принудительное обьявление в режиме демона.

Действительно неочень красиво, но работает вполне надежно.