Проблемы с NAT а может быть и нет

[mnemonic]

Добрый день!

Есть шлюз в интернет на FreeBSD 8.0 с такой конфигурацией

ЦПУ: Dual-Core CPU E5400 @ 2.70GHz

RAM: 2Гб

Сетевые карты Intel: em0 и em1

 

На сервере выполняется только NAT при помощью PF

 

После определённого порога трафика ~30Мбит/с начинаются проблемы

Сервер отсылает множественные ICMP host unreachable и очень много запросов не проходит.

 

Загрузка процессора не более 15%

last pid: 2580; load averages: 0.09, 0.13, 0.12 up 0+06:59:55 20:20:42

90 processes: 3 running, 69 sleeping, 2 stopped, 16 waiting

CPU 0: 0.0% user, 0.0% nice, 6.0% system, 0.7% interrupt, 93.3% idle

CPU 1: 0.0% user, 0.0% nice, 10.2% system, 0.0% interrupt, 89.8% idle

Mem: 13M Active, 9532K Inact, 42M Wired, 28K Cache, 13M Buf, 1929M Free

Swap: 4043M Total, 4043M Free

Ошибок нет

netstat -w 1

input (Total) output

packets errs bytes packets errs bytes colls

12651 0 9217710 12082 0 7385737 0

12364 0 8650579 11956 0 7353922 0

11503 0 7570837 11433 0 6468151 0

12466 0 8004013 12514 0 6903076 0

13487 0 8915098 13269 0 7075667 0

16080 0 11407782 15552 0 8695642 0

13978 0 9443704 13777 0 7834145 0

13820 0 9283090 13638 0 7603045 0

13770 0 9710003 13601 0 8076749 0

12274 0 8120815 12150 0 6988818 0

12216 0 8150411 11997 0 6886913 0

11833 0 8286757 11381 0 6646300 0

12714 0 9157233 12138 0 7506155 0

12575 0 9058388 12145 0 7543522 0

12906 0 8800927 12830 0 7774486 0

13840 0 8968598 13654 0 7412677 0

14653 0 9939452 14419 0 7840836 0

15218 0 10370137 14982 0 8230564 0

13604 0 8764642 13318 0 7016827 0

13686 0 9448199 13388 0 7674579 0

Подскажите где может быть проблема!

 

[XeonVs]

net.inet.icmp.icmplim выставить больше?

 

А лучше уйти от PF.

[st_re]

А че говорит

pfctl -s memory

и

pfctl -s info

на предмет State Table current entries

?

Может банально не хватает ? А то сразу сменить-сменить...

 

Увеличить

set limit states

И наверное неплохо бы слегка уменьшить set timeout, чтобы всякие tcpsyn не копились подолгу.

 

Да, и как поможет

net.inet.icmp.icmplim выставить больше?

если проблема не в том, что ICMP от сервера не ходят? Edited October 6, 2010 by st_re

[Makariy]

А лучше уйти от PF.

а скажите уважаемый чем PF NAT плох? и какой нат вы посоветуете использовать?

у меня например 2 тазика динамически натят в пул из 100 белых адресов по 200 мегабит каждый и ничего. Ваш НАТ так умеет?

ЗЫ: топикстартеру копать в сторону limit states

 

[XeonVs]

А лучше уйти от PF.

а скажите уважаемый чем PF NAT плох? и какой нат вы посоветуете использовать?

у меня например 2 тазика динамически натят в пул из 100 белых адресов по 200 мегабит каждый и ничего. Ваш НАТ так умеет?

ЗЫ: топикстартеру копать в сторону limit states

Плох глобальными блокировками.

полоса под гиг сейчас, ipfw nat с пулом /24 и уже его параллелизма не хватает.

 

 

 

[Makariy]

Плох глобальными блокировками.

полоса под гиг сейчас, ipfw nat с пулом /24 и уже его параллелизма не хватает.

а я на каждые 300 мегабит полосы отдельный тазик ставлю L2TP MPD+PF+NG_CAR .... и до гигабитной полосы ещё как до китая =)

[mnemonic]

А че говорит

pfctl -s memory

и

pfctl -s info

на предмет State Table current entries

?

Может банально не хватает ? А то сразу сменить-сменить...

 

Увеличить

set limit states

И наверное неплохо бы слегка уменьшить set timeout, чтобы всякие tcpsyn не копились подолгу.

 

Да, и как поможет

net.inet.icmp.icmplim выставить больше?

если проблема не в том, что ICMP от сервера не ходят?

Спасибо что навели на путь истинный!

Увеличение limit states решило проблему

Спасибо!

Edited October 7, 2010 by mnemonic