Linux softrouter

[sdy_moscow]

@sirmax просто статистку по погибшим в авариях найди, и мозгами раскинь... только не на дороге! Тут вам не Газа, и ВВП не сионист.

[naves]

Человек отвергающий KVM, это тот же человек, который отрицает нужность ABS и ESP в автомобиле. И вполне вероятно входит в множество людей считающих, что без ремня безопасности безопаснее, потому что брат жены родственника знакомого однажды при лобовом столкновении просто вылетел из машины через лобовое и остался жить, а мог быть размазанным на решетке радиатора встречной машины.

Edited November 18, 2024 by naves

[sdy_moscow]

@naves сори, вы случайно с собой аптечку, фонарик и запасные трусы не носите? Вопрос не в полезности, а в том важно это или нет. А точнее вопрос такой: стоит ли за это СПЕЦИАЛЬНО ПЛАТИТЬ!

 

З.Ы.

Кстати попался интересный свежий материал, затрагивающий тему софтроутеров (кину):

 

[jffulcrum]

У @sirmax опасности выездов не только в падении чего-нибудь сверху, есть еще кое-какая опасность:

 

 

 

[naves]

4 hours ago, sdy_moscow said:

вы случайно с собой аптечку, фонарик и запасные трусы не носите

Ношу фонарик, воду, и носки. без шуток.

Вашими стараниями.

ДБ

Edited November 18, 2024 by naves

[sdy_moscow]

12 минут назад, naves сказал:

Ношу фонарик, воду, и носки. без шуток.

Вашими стараниями.

ДБ

Ну тогда без КВМ вам не прожить! Держитесь там!

[sirmax]

3 часа назад, jffulcrum сказал:

У @sirmax опасности выездов не только в падении чего-нибудь сверху, есть еще кое-какая опасность:

 

 

 

У меня выездов нет, у меня квм, так что шутка не по адресу;)

 

[myth]

Почитал про ANAT и чет вообще нихрена не понял из скудной документации. Пример конфига бы хоть. Ну и в чем плюсы от обычного ната?

[sdy_moscow]

6 часов назад, myth сказал:

Почитал про ANAT и чет вообще нихрена не понял из скудной документации. Пример конфига бы хоть. Ну и в чем плюсы от обычного ната?

Пример конфига есть в каталоге (архиве) с проектом. Сама документация по большому счету и есть описание конфигурации и работы с приложением.

 

Про плюсы:

1. Это решение для работы CGNAT (в темеANAT есть ссылка на статью с описанием разницы)

2. Это решение оптимизировано под высокую производительность с учетом архитектуры процессоров Intel и их клонов.

3. Это решение предназначено для тех операторов у кого много абонентов за НАТом и где доступность сервиса должна быть 24х7.

4. Это ОЧЕНЬ стабильное решение, спроектированное с гарантированной производительностью с минимальной задержкой при обработке трафика!

4. Плюшки:

 - стабильная работа без зависаний и фризов (c xt_nat это было проблемой, что и заставило написать свой модуль)

 - поддержка НЕСКОЛЬКИХ потоков NETFLOW (в т.ч. для СОРМ)

 - изменение практически всех настроек без остановки/старта модуля (в первую очередь пулов адресов)

 - разнообразные встроенные средства  мониторинга как для алармов (различные счетчики) так и просмотр подозрительного трафика, лог ошибок, дропов и т.д.

 - различные функции для администратора (например можно тестировать работу через конкретный ИП)

 - функция portmaping

 - настраиваемая индивидуальная политика NAT (выделение пулов адресов для спамеров, лимиты кол-вы сессий и т.п.) для разных групп пользователей

 - поддержка множественной работы с одного адреса не UDP|TCP|ICMP протoколов

 - и много еще разных мелочей, читайте документацию внимательно, задавайте вопросы в теме проекта

 

Подробности лучше обсуждать в самой теме проекта:

https://forum.nag.ru/index.php?/topic/195398-anat-advanced-asymmetric-cg-nat-xt_anat-module-yadra-dlya-linux/

[alex39x]

Подскажите. 

Вводим в эксплуатацию новый сервер. При переносе трафика со  старого сервера на новый странное поведение conntrack - растёт каждые 2 минуты и падает.Дельта примерно 10К.  Таймауты перенесли со старого. NAT на iptables - правила перенесли со старого сервера. Сервера в плане железа и софта разные.
 

Скрытый текст

новый
Wed Feb 11 11:32:50 UTC 2026
19757
Wed Feb 11 11:33:10 UTC 2026
23083
Wed Feb 11 11:33:30 UTC 2026
26346
Wed Feb 11 11:33:50 UTC 2026
28631
Wed Feb 11 11:34:10 UTC 2026
29730
Wed Feb 11 11:34:30 UTC 2026
30240
Wed Feb 11 11:34:50 UTC 2026
31337
Wed Feb 11 11:35:10 UTC 2026
23805
Wed Feb 11 11:35:30 UTC 2026
26215
Wed Feb 11 11:35:50 UTC 2026
28622
Wed Feb 11 11:36:10 UTC 2026
29756
Wed Feb 11 11:36:30 UTC 2026
30832
Wed Feb 11 11:36:50 UTC 2026
32055
Wed Feb 11 11:37:10 UTC 2026
25125
Wed Feb 11 11:37:30 UTC 2026
27851
Wed Feb 11 11:37:50 UTC 2026
29433
Wed Feb 11 11:38:10 UTC 2026
30455
Wed Feb 11 11:38:30 UTC 2026
31506
Wed Feb 11 11:38:50 UTC 2026
32005
Wed Feb 11 11:39:10 UTC 2026
22614

старый
while true; do date ; conntrack -C; sleep 20; done
Wed Feb 11 12:01:16 UTC 2026
22115
Wed Feb 11 12:01:36 UTC 2026
21863
Wed Feb 11 12:01:56 UTC 2026
22060
Wed Feb 11 12:02:16 UTC 2026
21625
Wed Feb 11 12:02:36 UTC 2026
21457
Wed Feb 11 12:02:56 UTC 2026
21364
Wed Feb 11 12:03:16 UTC 2026
21404
Wed Feb 11 12:03:36 UTC 2026
21193
Wed Feb 11 12:03:56 UTC 2026
21382
Wed Feb 11 12:04:16 UTC 2026
20836
Wed Feb 11 12:04:36 UTC 2026
20092
Wed Feb 11 12:04:56 UTC 2026
20934
Wed Feb 11 12:05:16 UTC 2026
21778
Wed Feb 11 12:05:36 UTC 2026
21226
Wed Feb 11 12:05:56 UTC 2026
21577
Wed Feb 11 12:06:16 UTC 2026
21571
Wed Feb 11 12:06:36 UTC 2026
21744
Wed Feb 11 12:06:56 UTC 2026
20955
Wed Feb 11 12:07:16 UTC 2026

 

И ещё не понимаю - когда запускаю conntrack -L - счётчик соединений уменьшается:
 

conntrack -C ; conntrack -L | wc -l; conntrack -C
25240
conntrack v1.4.6 (conntrack-tools): 19858 flow entries have been shown.
19858
19869

как посмотреть что там растёт

 

sysctl:

Скрытый текст

net.netfilter.nf_conntrack_acct = 1
net.netfilter.nf_conntrack_buckets = 131072
net.netfilter.nf_conntrack_checksum = 1
net.netfilter.nf_conntrack_count = 29666
net.netfilter.nf_conntrack_dccp_loose = 1
net.netfilter.nf_conntrack_dccp_timeout_closereq = 64
net.netfilter.nf_conntrack_dccp_timeout_closing = 64
net.netfilter.nf_conntrack_dccp_timeout_open = 43200
net.netfilter.nf_conntrack_dccp_timeout_partopen = 480
net.netfilter.nf_conntrack_dccp_timeout_request = 240
net.netfilter.nf_conntrack_dccp_timeout_respond = 480
net.netfilter.nf_conntrack_dccp_timeout_timewait = 240
net.netfilter.nf_conntrack_events = 1
net.netfilter.nf_conntrack_expect_max = 1024
net.netfilter.nf_conntrack_frag6_high_thresh = 4194304
net.netfilter.nf_conntrack_frag6_low_thresh = 3145728
net.netfilter.nf_conntrack_frag6_timeout = 60
net.netfilter.nf_conntrack_generic_timeout = 60
net.netfilter.nf_conntrack_gre_timeout = 30
net.netfilter.nf_conntrack_gre_timeout_stream = 180
net.netfilter.nf_conntrack_helper = 1
net.netfilter.nf_conntrack_icmp_timeout = 10
net.netfilter.nf_conntrack_icmpv6_timeout = 30
net.netfilter.nf_conntrack_log_invalid = 0
net.netfilter.nf_conntrack_max = 1048576
net.netfilter.nf_conntrack_sctp_timeout_closed = 10
net.netfilter.nf_conntrack_sctp_timeout_cookie_echoed = 3
net.netfilter.nf_conntrack_sctp_timeout_cookie_wait = 3
net.netfilter.nf_conntrack_sctp_timeout_established = 300
net.netfilter.nf_conntrack_sctp_timeout_heartbeat_acked = 210
net.netfilter.nf_conntrack_sctp_timeout_heartbeat_sent = 30
net.netfilter.nf_conntrack_sctp_timeout_shutdown_ack_sent = 3
net.netfilter.nf_conntrack_sctp_timeout_shutdown_recd = 0
net.netfilter.nf_conntrack_sctp_timeout_shutdown_sent = 0
net.netfilter.nf_conntrack_tcp_be_liberal = 0
net.netfilter.nf_conntrack_tcp_loose = 1
net.netfilter.nf_conntrack_tcp_max_retrans = 3
net.netfilter.nf_conntrack_tcp_timeout_close = 10
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 20
net.netfilter.nf_conntrack_tcp_timeout_established = 300
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 30
net.netfilter.nf_conntrack_tcp_timeout_last_ack = 15
net.netfilter.nf_conntrack_tcp_timeout_max_retrans = 300
net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 30
net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 15
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 30
net.netfilter.nf_conntrack_tcp_timeout_unacknowledged = 300
net.netfilter.nf_conntrack_timestamp = 0
net.netfilter.nf_conntrack_udp_timeout = 10
net.netfilter.nf_conntrack_udp_timeout_stream = 45

 

Edited February 11 by alex39x

[tcup]

@alex39x напишите сюда настройки sysctl

 

А если брать счётчик, используя типа такой команды?

/sbin/sysctl net.netfilter.nf_conntrack_count

Edited February 11 by tcup

[alex39x]

@tcup 

Если Вы про таймауты sysctl - они под  катом  выше картинки.
sysctl net.netfilter.nf_conntrack_count всё так-же. 

Edited February 11 by alex39x

[tcup]

@alex39x не сообразил, что спойлеры тут в сообщении

ну может ещё иные настройки conntrack посмотреть умолчальные, не установленные явно, типа hashsize

В системных логах есть чего?

Edited February 11 by tcup

[alex39x]

@tcup в логах ничего.

[sdy_moscow]

Не хочу углубляться в тему, но возможно тут вопрос не в том, что считать, а как считать!

Для примера, попробуйте проанализировать на графиках максимальную и среднюю скорость,  опрашивая периодически текущую скорость на сетевом интерфейсе.

Иными словами вы берете какие то счетчики С КАКИМ-ТО ИНТЕРВАЛОМ, а вы понимаете, как они считаются на этом интервале и что за значения вы получаете в момент опроса?

[ixi]

1 час назад, alex39x сказал:

как посмотреть что там растёт

conntrack -E -e DESTROY

?

 

А вообще 2 минуты смахивает на дефолтные значения таймаутов. Настройки точно применены сейчас и не слетели после перезагрузки?

[alex39x]

@sdy_moscow просто поведение этого счётчика поменялось по сравнению с прошлым сервером. трафик тот же. основные настройки те же.

@ixi настройки sysctl применены. а что за дефолтный таймаут в 2 минуты ?

conntrack -E -e DESTROY - 

DESTROY там накапливается.

 

@ixi 

по дефолту 120 сек эти:

net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 120
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120

 

у нас так:

net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 15
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 30

net.netfilter.nf_conntrack_tcp_timeout_time_wait = 30
 

[tcup]

ИИ выдал версию про 2-минутные сбросы сессий из-за чрезмерно зарезанных таймаутов, хотя ссылок на источники не увидел

 

Тоже была версия, что например, считывание счетчика не поспевает за процессами и типа гонки возникает. На Микротике счетчик conntrack погоду кажет

[nixx]

7 часов назад, alex39x сказал:

Вводим в эксплуатацию новый сервер. При переносе трафика со  старого сервера на новый странное поведение conntrack - растёт каждые 2 минуты и падает.Дельта примерно 10К.

новый сервер - с другой версией ядра? или всё 1:1 как на старом?

у меня при смене ядра с 4 на 5 версию (кажется) тоже изменился график числа соединений, тоже превратившись в лесенку. для абонентов по факту ничего не изменилось никак.

[alex39x]

@nixx была смена с 4 на 5. 

ИИ говорит что в ядрах 5+  ( до 5.19) сборщик мусора работает каждые 120 секунд.

https://chat.deepseek.com/share/67ieei6lvl0g60mklp

Edited February 12 by alex39x

[tcup]

@alex39x мда, без интеллектов уже не разобраться в высоких технологиях

[nixx]

7 часов назад, alex39x сказал:

@nixx была смена с 4 на 5. 

ИИ говорит что в ядрах 5+  ( до 5.19) сборщик мусора работает каждые 120 секунд.

https://chat.deepseek.com/share/67ieei6lvl0g60mklp

спасибо. надо взять за правило консультироваться в подобных непонятках у ии.

моя догадка оказалась верна, что в ядре что-то поменялось, но тут прям моральное облегчение от понимания логики происходящего ))