Перейти к содержимому
Калькуляторы
NAT под FreeBSD.  

198 пользователей проголосовало

  1. 1. Кто и какой использует NAT



NAT под FreeBSD. Кто и какой использует NAT на своих BRAS-Freebsd

А у вас стэйты именно NAT'овые? Я когда для всех остальных правил сделал "no state", их (states) количество существенно уменьшилось, что соответственно, дало возможность больше пропускать.

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мде, народ под бордер с гигом трафа 5650*2 ставит :) С таким подходом natd можно заставить прокидывать гигабит :)

 

Трудится 2*5460, pf nat + ng_netflow + сенсоры + lagg + мелочевка под 8.2 суммарно до 300м доходило, при этом нагрузка 60% на все, дрова на ем яндекс. Сейчас пробую 9ку.. Пока ничего не могу сказать. Есть странности. Думаю, смотрю, изучаю.

 

пробовал все, от natd до pfnat, имхо, имхо, pf самый быстрый. Правда ipfw nat пробовал на его заре и может с тех пор много чего изменилось, но сам фаервол pf мне чет от раза к разу как я в него лезу нравится больше и больше.. И хрен с ним, с 1 ядром, все задачи которые на него возложены он выполняет на ура. Шейпер на другой сервачине и там пока трудится ipfw + dummy + тот же pfnat, всё устраивает, а лучшее враг хорошему, работает - не лезу :)

 

+PF NAT.

 

боже, какую старую тему я откопал...

Изменено пользователем 2ihi

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тема старая, но видимо вечная.

 

Что то я на 9.1 и ngnat регулярно натыкаюсь на глюки какие то.

Придется что то менять.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сам долго мучился.

На 9-й ветке лучше всего показал себя pf.

 

Но в результате все равно НАТ вынес на линух - на порядок лучше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А как православно будет это на линухе сделать?

 

У меня довольно сложные правила. разного размера сети мапятся в разные ипы, научите, как?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сам НАТ через iptables завернуть можно весьма гибко и по всякому.

 

Сложности прочие можно и на брасе в виде фри оставить. В таком случае минимальная переделка нужна будет.

 

Если решите разделять - пишите что не получается - помогу чем смогу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

как в iptables nat в пул ip-адресов реализовать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Но в результате все равно НАТ вынес на линух - на порядок лучше.

Факт :( Пришлось унести NAT с NASов на киске и прочих mpd на отдельный комп под убунтей, и поднять bgp меж ними...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

как в iptables nat в пул ip-адресов реализовать?

делаю так,

$IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.0.0/23  -j SNAT --to-source 31.210.x.1
$IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.2.0/23  -j SNAT --to-source 31.210.x.2
$IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.4.0/23  -j SNAT --to-source 31.210.x.3
$IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.6.0/23 -j SNAT --to-source 31.210.x.4
$IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.8.0/23 -j SNAT --to-source 31.210.x.5
$IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.10.0/23 -j SNAT --to-source 31.210.x.6
и тд

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

делаю так,

$IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.0.0/23  -j SNAT --to-source 31.210.x.1
$IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.2.0/23  -j SNAT --to-source 31.210.x.2
$IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.4.0/23  -j SNAT --to-source 31.210.x.3
$IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.6.0/23 -j SNAT --to-source 31.210.x.4
$IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.8.0/23 -j SNAT --to-source 31.210.x.5
$IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.10.0/23 -j SNAT --to-source 31.210.x.6
и тд

А можно и просто

-j SNAT --to-source 31.210.x.1-31.210.x.6 --persistent

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

делаю так,

$IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.0.0/23  -j SNAT --to-source 31.210.x.1
$IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.2.0/23  -j SNAT --to-source 31.210.x.2
$IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.4.0/23  -j SNAT --to-source 31.210.x.3
$IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.6.0/23 -j SNAT --to-source 31.210.x.4
$IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.8.0/23 -j SNAT --to-source 31.210.x.5
$IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.10.0/23 -j SNAT --to-source 31.210.x.6
и тд

А можно и просто

-j SNAT --to-source 31.210.x.1-31.210.x.6 --persistent

Скажите , а если использовать --persistent , то внеш ip у клиента будет меняться или он будет статический?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

если использовать --persistent , то внеш ip у клиента будет меняться или он будет статический?

http://forum.nag.ru/forum/index.php?showtopic=52212

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

roysbike

IP будет меняться для разных destination по идее. Проблем это не вызывает, в пределах одного dst хоста IP будет постоянен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

roysbike

IP будет меняться для разных destination по идее. Проблем это не вызывает, в пределах одного dst хоста IP будет постоянен.

не будет

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

+1. В случае с persistent src(nat) ip не является функцией dst

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кто-то сталкивался с проблемой ната ?

 

pf nat freebsd 10 NetXtreme II BCM5709 Gigabit Ethernet

 

при 100 мег трафика уже есть деградация, потеря пакетов, тупят страницы.

 

Что можете порекомендовать ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

pf nat freebsd 10 NetXtreme II BCM5709 Gigabit Ethernet

 

при 100 мег трафика уже есть деградация, потеря пакетов, тупят страницы.

 

Обновить БИОС и фирмваре сетевой.

Потом выключить TSO и всякие проверки сумм на сетевой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Господа, а как сейчас обстоят дела с NAT на PF в FreeBSD 10/11 , он проде как теперь там SMP-friendly?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 11 точно работает, в 10.1 скорее всего тоже работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 11 точно работает, в 10.1 скорее всего тоже работает.

 

а с производительностью как? скажем 5-7Gbit/s in+out на 1 6-и ядерном E5-1650v3 вытянет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 11 точно работает, в 10.1 скорее всего тоже работает.

 

а с производительностью как? скажем 5-7Gbit/s in+out на 1 6-и ядерном E5-1650v3 вытянет?

 

Мало данных.

Помимо толщины канала, нужны pps, кол-во трансляций, кол-во реальных IP.

Ну и нужен тюнинг сетевых карт.

 

Если 10Г сетевые, то там 8 очередей и будут плохо балансироваться с 6 ядрами проца.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

8 очередей и будут плохо балансироваться с 6 ядрами проца.

6 очередей из 8 что, на бсд нельзя заюзать? В лине вменьшую сторону очереди крутятся на ура, драйвер вроде тот же.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 11 точно работает, в 10.1 скорее всего тоже работает.

 

а с производительностью как? скажем 5-7Gbit/s in+out на 1 6-и ядерном E5-1650v3 вытянет?

 

Мало данных.

Помимо толщины канала, нужны pps, кол-во трансляций, кол-во реальных IP.

Ну и нужен тюнинг сетевых карт.

 

Если 10Г сетевые, то там 8 очередей и будут плохо балансироваться с 6 ядрами проца.

 

1М - 1,3М трансляций, PPS 500К-800К на порт.

 

на сколько я помню, число очередей, раньше, можно было задать желаемое колличество, поковыряв исходник драйвера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вроде бы тоже по теме, на серверах для NAT в BIOS сейчас желательно ли включать HT и Inter® TurboMode Tech ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Турбо не знаю, скорее всего даже полезно, а хипертрединг вреден на маршрутизаторах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.