Erastik Posted June 24, 2007 Posted June 24, 2007 Добрый день! Подскажите что лучше использовать ipnat или natd? Вставить ник Quote
IvanI Posted June 24, 2007 Posted June 24, 2007 ng_nat конечно клево и быстро, но я так и непонял как им управлять(время жизни трансляции, ip<->ip, порт <-> порт) Вставить ник Quote
Kaban Posted June 27, 2007 Posted June 27, 2007 ipnat это хорошо, но к сожалению нет возможности по ограничению кол-ва соединений на один клиентский IP. Вставить ник Quote
IvanI Posted June 27, 2007 Posted June 27, 2007 ipnat это хорошо, но к сожалению нет возможности по ограничению кол-ва соединений на один клиентский IP. bpf наверно поможет с ipnatом у нас клиенты завопили - gre и фтп бегать перестали с ng_natом никто нежалуется и при 30 мегабитах 30% загруз цел 1,7 (там еще и шейпер) Вставить ник Quote
umike Posted June 28, 2007 Posted June 28, 2007 (edited) ipnat это хорошо, но к сожалению нет возможности по ограничению кол-ва соединений на один клиентский IP.как вариант можно попробоватьmap fxp0 y.y.y.y/32 -> x.x.x.x/32 portmap tcp/udp 10000:10050 например либо использовать сочетание ipnat+ipfw режущий сессии/pf/pf+ipfw для ftp есть в man map fxp0 y.y.y.y/32 -> x.x.x.x/32 proxy port ftp ftp/tcp и еще на тему http://www2.nag.ru/forum/index.php?s=&...st&p=254512 Edited June 28, 2007 by umike Вставить ник Quote
Kaban Posted June 28, 2007 Posted June 28, 2007 А так чтоб не перечислять все клиентские адреса, а просто сказать: не более 1000 соединений на любой клиентский IP можно сделать ? Вставить ник Quote
umike Posted June 28, 2007 Posted June 28, 2007 думается мне что массово лимитировать кол-во сессий при минимуме писанины (если фаервол ручками пишутся а не скриптами :) может только ipfw с использованием масок в правилах. Если не прав - поправьте, самому интересно :) при больших объемах/нагрузках предпочтителей использовать ipnat или нат pf. Фаервол никто не мешает использовать любой. Наиболее часто мне встречаются ipnat+ipfw. Если же сетка на 5 компов, то использовать можно что угодно :)) Вставить ник Quote
Erastik Posted June 28, 2007 Author Posted June 28, 2007 Ну а в принципе natd допустим для использования в сети на 500-1500 юзеров, при нормально1 скорости инета? Вставить ник Quote
Kaban Posted June 28, 2007 Posted June 28, 2007 Нет, не допустим. Тазик загнется очень быстро, т.к. natd это user-level process в отличии от ipnat или pf которые в ядре. Вставить ник Quote
umike Posted June 29, 2007 Posted June 29, 2007 (edited) pf впринципе игнорируется? если это мне, то для меня он весьма интересен. Как раз на днях вкуривал маны :)Так и не понял можно ли именно средствами правил pf-фаервола порубать кол-во не tcp-сессий, а скажем udp или icmp-флуда ограничив, например, udp-флуд от источника скоростями вида "x пакетов в y секунд". При превышении лимита помещать src ip в таблицу флудеров, опять-же например прилично шейпированную или используемую в правилах для блокировки флудерастов. Гуру pf, подскажите? :) Edited June 29, 2007 by umike Вставить ник Quote
Kaban Posted June 30, 2007 Posted June 30, 2007 Кто юзал pf nat на freebsd, скажите дружит ли он с net.inet.ip.fastforwarding ? А то ipnat с ним не работает. Вставить ник Quote
jab Posted June 30, 2007 Posted June 30, 2007 Кто юзал pf nat на freebsd, скажите дружит ли он с net.inet.ip.fastforwarding ? А то ipnat с ним не работает. Дружит. Правда на больших скоростях не пробовал. Максимум что реально вижу - 300Mbits/100kpps. FreeBSD 6.2-STABLE. Вставить ник Quote
Kaban Posted July 1, 2007 Posted July 1, 2007 Спасибо, бум переходить на pf. А 100kpps это нет так и мало. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.