[SiXeD]

скинь в файле 5(одинаковые) минут с обоих сетевух

[silitra]

2Tier

думаю нужно так

iptables -t nat -I POSTROUTING -s 10.0.0.0/20 -j NETMAP --to хх.хх.64.0/20

iptables -t nat -I POSTROUTING -s 10.0.16.0/20 -j NETMAP --to хх.хх.64.0/20

 

 

 

[tier]

2silitra

netmap не подходит, т.к. у абонентов /30.

 

Все таки NAT запустили как есть, т.е. с непонятным трафиком :)

Сперва на маленьком количестве абонентов ~2000, после недельки нормально работы, добавили еще ~6000.

Две недели полет нормальный.

Суточный лог трансляций размером 80G с помощь заклинания grep awk sed gzip превращается в 800 метровый gz файл.

 

 

График нагрузки на CPU:

 

 

 

- Основную нагрузку создает ulogd2.

 

- Всплеск в конце графика - обработка суточного лога.

 

 

 

 

Траффик на интерфейсах продолжает радовать своей разницей :)

 

eth0 - смотрит во внешний мир:

 

 

eth1 - смотрит в сторону абонентов:

 

 

 

 

 

С излишним трафиком из вне все более-менее понятно, и выглядит это так:

 

tcpdump -n -c 10 host xx.xx.76.198

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes

09:30:15.813171 IP 91.195.127.1.41145 > xx.xx.76.198.14172: UDP, length 30

09:30:15.813179 IP 91.195.127.1.41145 > xx.xx.76.198.14172: UDP, length 30

09:30:15.813220 IP 91.195.127.1.41145 > xx.xx.76.198.14172: UDP, length 30

09:30:15.813224 IP 91.195.127.1.41145 > xx.xx.76.198.14172: UDP, length 30

09:30:15.813269 IP 91.195.127.1.41145 > xx.xx.76.198.14172: UDP, length 30

09:30:15.813273 IP 91.195.127.1.41145 > xx.xx.76.198.14172: UDP, length 30

09:30:15.813319 IP 91.195.127.1.41145 > xx.xx.76.198.14172: UDP, length 30

09:30:15.813322 IP 91.195.127.1.41145 > xx.xx.76.198.14172: UDP, length 30

09:30:15.813396 IP 91.195.127.1.41145 > xx.xx.76.198.14172: UDP, length 30

09:30:15.813400 IP 91.195.127.1.41145 > xx.xx.76.198.14172: UDP, length 30

 

Количество conntrack записей в пике достигает ~200000.

 

 

В целом все работает нормально. Жалоб от абонентов на неадекватную работу каких-либо сервисов не посупало.

 

Но конечно бы хотелось избавиться от излишнего трафика.

[vitalyb]

хотелось избавиться от излишнего трафика.

да вас, похоже, просто немного досят. Пишите владельцам этого src ip.

 

А для чего ulogd2?

[tier]

там сотни src ip c похожим траффиком.

 

ulogd2 для логирования NAT трансляций.

 

 

[nickD]

ВОпрос к знатокам, как будет работать такая конструкция для NAT(или вообще работать не будет), даст ли какой либо выиграш по сравнению со стандарной.

iptables -t nat -I POSTROUTING -s 10.0.0.0/20 -j NETMAP --to 77.66.64.0/20

iptables -t nat -I POSTROUTING -s 10.1.0.0/20 -j NETMAP --to 77.66.64.0/20

iptables -t nat -I POSTROUTING -s 10.2.0.0/20 -j NETMAP --to 77.66.64.0/20

iptables -t nat -I POSTROUTING -s 10.3.0.0/20 -j NETMAP --to 77.66.64.0/20

[tier]

Кажись NETMAP только для трансляций сеть в сеть, 1 к 1.

[vitalyb]

ulogd2 для логирования NAT трансляций.

ага, понял, оно через интерфейсы conntrack-tools и работает.

 

там сотни src ip c похожим траффиком.

значит ддосят )

[tier]

Со входящим трафиком из вне все ясно. Как объяснить, поймать и избавиться от избыточного исходящего трафика на внешнем интерфейсе?

[maga]

добрый вечер!!! у меня тоже почти схожая проблема которую описывает tier

стоит сервер, ось "red hat 5.5" настроен NAT

-A POSTROUTING -s 192.168.X.X/255.255.X.X -o eth0.181 -j SNAT --to-source X.X.109.70

-A POSTROUTING -s 192.168.X.X/255.255.X.X -o eth0.181 -j SNAT --to-source X.X.46.16

................

................

................

COMMIT

и чуток отредактировал conntrack

net.ipv4.ip_conntrack_max = 20000000

net.ipv4.netfilter.ip_conntrack_tcp_max_retrans = 3

net.ipv4.netfilter.ip_conntrack_tcp_be_liberal = 0

net.ipv4.netfilter.ip_conntrack_tcp_loose = 1

net.ipv4.netfilter.ip_conntrack_tcp_timeout_max_retrans = 120

net.ipv4.netfilter.ip_conntrack_log_invalid = 0

net.ipv4.netfilter.ip_conntrack_generic_timeout = 180

net.ipv4.netfilter.ip_conntrack_icmp_timeout = 30

net.ipv4.netfilter.ip_conntrack_udp_timeout_stream = 180

net.ipv4.netfilter.ip_conntrack_udp_timeout = 30

net.ipv4.netfilter.ip_conntrack_tcp_timeout_close = 10

net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait = 120

net.ipv4.netfilter.ip_conntrack_tcp_timeout_last_ack = 30

net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait = 60

net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait = 120

net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 180

net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv = 60

net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_sent = 120

net.ipv4.netfilter.ip_conntrack_checksum = 1

net.ipv4.netfilter.ip_conntrack_buckets = 8192

net.ipv4.netfilter.ip_conntrack_count = 111308

net.ipv4.netfilter.ip_conntrack_max = 20000000

и настроен quagga (эмулятор цыски)

так вот... сталкнулся с проблемой, у абонентов (безлимитный тариф) изначально прекрасно работает интернет без задержек показывает видео и т.д. но через 15-25 минут интенсивной работы в интернете начинает потихоньку медленно открывать сайты, тормозить видео например "vkontakte, YouTube, одноклассники", а в часы пик качество интернета вообще отвратительный.

как мне решить эту проблему?