Jump to content
Local

Sоrk

Сitizens
  • Content Count

    120
  • Joined

  • Last visited

  • Days Won

    4

Sоrk last won the day on May 6

Sоrk had the most liked content!

Community Reputation

31 Очень хороший

About Sоrk

  • Rank
    Точу Зубы

Информация

  • Пол
    Мужчина
  • Город
    Киев

Recent Profile Visitors

2031 profile views
  1. на старой прошивке проявлялась аналогичная проблема, после обновления до 54184 больше не замечал (или небыло массовых пропаданий ...)
  2. https://uablacklist.net/ такой?
  3. Sоrk

    NAT на freebsd

    уточнение, данный конфиг и графики с сервера на E5-1620 v2 (4 ядра), для Xeon E5-1650 v4 (6 ядер) производительность выше ровно пропорционально ядрам. сложно сказать благодаря этому или нет, но 1 млн NAT сессий на сервере живёт так вот же у меня отключен ipv6 и 4-5 гбит без проблем. Или имеется в виду для одной TCP-сессии? но ради эксперимента как-то попробую включить назад. Идея ровно в противоположном - помочь пользователям на нестабильном домашнем WiFi развивать большую скорость в один TCP-поток. Ради этого даже syncookies отключены. Но действительно, на транзитный трафик это не влияет, параметры TCP-окна это это всё же индивидуальная договорённость клиента и сервера.
  4. Sоrk

    NAT на freebsd

    и да, сервер занимается исключительно задачей NAT - никаких dummynet, dns, webserver, netflow/ipcad, dhcp rc.conf ifconfig_ix0="-tso4 -tso6 -lro -vlanhwtso" ifconfig_ix1="-tso4 -tso6 -lro -vlanhwtso" powerd_enable="YES" powerd_flags="-a maximum" tcp_restrict_rst="YES" tcp_drop_synfin="YES" icmp_drop_redirect="YES" icmp_log_redirect="YES" icmp_bmcastecho="NO" tcp_extensions="YES" все сети для статик-нат отправлены в blackhole (если такого не сделать и этот IP почему-то не попал в трансляцию/не занят весь входящих трафик на него будет попадать в L3 петлю BORDER<->NAT SERVER до истечения TTL) route add -net 99.88.77.0/25 127.0.0.1 -blackhole
  5. Sоrk

    NAT на freebsd

    Настройки ядра: /usr/src/sys/amd64/conf/GENERIC - ничего особенного #options INET6 #disable IPv6 options IPFIREWALL options IPFIREWALL_NAT options IPFIREWALL_DEFAULT_TO_ACCEPT options HZ=1000 options NETGRAPH options NETGRAPH_IPFW options NETGRAPH_NAT options NETGRAPH_NETFLOW options NETGRAPH_SPLIT options NETGRAPH_ETHER options NETGRAPH_KSOCKET options NETGRAPH_SOCKET options NETGRAPH_BPF options NETGRAPH_IFACE options NETGRAPH_PPTPGRE options NETGRAPH_TCPMSS options NETGRAPH_VJC device lagg /boot/loader.conf alias_ftp_load="YES" alias_pptp_load="YES" net.inet.tcp.tcbhashsize=4096 net.isr.maxthreads=2 net.isr.defaultqlimit=4096 net.isr.bindthreads=1 cc_htcp_load="YES" cc_chd_load="YES" net.inet.tcp.hostcache.cachelimit="0" net.inet.tcp.tso=0 net.link.ifqmaxlen="2048" hw.ix.tx_process_limit=-1 hw.ix.rx_process_limit=-1 /etc/sysctl.conf net.inet.ip.fw.dyn_max=5000000 net.inet.ip.fw.dyn_buckets=65535 net.inet.tcp.blackhole=2 net.inet.udp.blackhole=1 net.inet.ip.ttl=128 kern.ipc.somaxconn=4096 net.link.ether.inet.log_arp_movements=0 net.inet.icmp.drop_redirect=1 net.inet.icmp.log_redirect=1 net.inet.icmp.bmcastecho=0 net.inet.icmp.maskrepl=0 net.inet.ip.sourceroute=0 net.inet.ip.accept_sourceroute=0 net.inet.tcp.rfc1323=1 net.inet.tcp.hostcache.expire=1 net.inet.ip.redirect=0 net.inet.ip.forwarding=1 net.isr.dispatch=direct net.inet.raw.maxdgram=16384 net.inet.raw.recvspace=16384 net.link.ether.inet.max_age=300 kern.ipc.maxsockbuf=2097152 net.inet.tcp.sendbuf_max=2097152 net.inet.tcp.recvbuf_max=2097152 net.inet.tcp.cc.algorithm=htcp net.inet.tcp.cc.htcp.adaptive_backoff=1 net.inet.tcp.cc.htcp.rtt_scaling=1 kern.ipc.soacceptqueue=1024 net.inet.tcp.mssdflt=1460 net.inet.tcp.nolocaltimewait=1 net.inet.tcp.syncache.rexmtlimit=0 net.inet.tcp.maxtcptw=40960 net.inet.tcp.tso=0 net.inet.tcp.abc_l_var=44 kern.sync_on_panic=1 net.inet.tcp.syncookies=0 net.inet.ip.portrange.first=1024 net.inet.ip.portrange.hifirst=1024 kern.random.harvest.mask=351 net.route.netisr_maxqlen=2048 hw.intr_storm_threshold=9000 net.inet.tcp.rfc6675_pipe=1 ipfw show 00010 allow ip from me to any 00030 allow icmp from any to me 00040 reject tcp from any to table(63) in via vlan10 00050 reject udp from any to table(63) in via vlan10 00110 nat 123 ip from table(5) to any out via vlan21 00120 nat 124 ip from table(6) to any out via vlan21 00130 nat 125 ip from table(16) to any out via vlan21 00140 nat tablearg ip from table(3) to any out via vlan21 00210 nat 123 ip from any to table(7) in via vlan21 00220 nat 124 ip from any to table(8) in via vlan21 00230 nat 125 ip from any to table(17) in via vlan21 00240 nat tablearg ip from any to table(4) in via vlan21 65535 allow ip from any to any vlan10 - внутрнний vlan21 - внешний table 3 #внутренние сети dynamic nat tablearg (ipfw table 3 add 172.17.0.0/16 5) table 5 #внутренние адреса static nat 123 table 6 #внутренние адреса static nat 124 table 16 #внутренние адреса static nat 125 table 4 #внешние адреса dynamic nat tablearg (ipfw table 4 add 99.88.77.66/32 5) table 7 #внешние адреса static nat 123 table 8 #внешние адреса static nat 124 table 17 #внешние адреса static nat 125 пример настройки статик-нат (таких трансляций более 500) ipfw nat 123 config log unreg_only redirect_addr 172.18.1.1 99.88.77.11 redirect_addr 172.18.1.2 99.88.77.12 redirect_addr ... ipfw nat 124 config log unreg_only redirect_addr 172.18.2.2 99.88.77.13 redirect_addr 172.18.2.3 99.88.77.14 redirect_addr ... ipfw nat 125 config log unreg_only redirect_addr 172.18.3.4 99.88.77.15 redirect_addr 172.18.3.5 99.88.77.16 redirect_addr ... Пример настройки динамик-ната (таких трансляций более 100) ipfw table 3 add 172.17.0.0/16 5 ipfw table 4 add 99.88.77.66/32 5 ipfw nat 5 config ip 99.88.77.66 log deny_in unreg_only reset ipfw nat show log nat 5: icmp=0, udp=16, tcp=278, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=294 nat 7: icmp=6, udp=306, tcp=7075, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=7387 nat 8: icmp=34, udp=658, tcp=8342, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=9034 nat 10: icmp=30, udp=1539, tcp=11562, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=13131 nat 11: icmp=23, udp=548, tcp=11726, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=12297 nat 12: icmp=53, udp=1650, tcp=42239, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=43942 nat 13: icmp=31, udp=2079, tcp=29572, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=31682 nat 14: icmp=22, udp=1399, tcp=34059, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=35480 nat 16: icmp=41, udp=1350, tcp=31768, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=33159 nat 17: icmp=8, udp=1592, tcp=14672, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=16272 nat 18: icmp=57, udp=1170, tcp=28944, sctp=0, pptp=0, proto=1, frag_id=0 frag_ptr=0 / tot=30172 nat 19: icmp=19, udp=566, tcp=13708, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=14293 nat 20: icmp=12, udp=854, tcp=10584, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=11450 nat 21: icmp=18, udp=400, tcp=4506, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=4924 nat 22: icmp=43, udp=1546, tcp=20871, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=22460 nat 23: icmp=49, udp=1829, tcp=25230, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=27108 nat 24: icmp=26, udp=62, tcp=2269, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=2357 nat 25: icmp=35, udp=611, tcp=16542, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=17188 nat 26: icmp=14, udp=193, tcp=1122, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=1329 nat 27: icmp=1, udp=80, tcp=2590, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=2671 nat 28: icmp=48, udp=2055, tcp=26846, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=28949 nat 29: icmp=12, udp=397, tcp=9285, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=9694 nat 30: icmp=33, udp=1770, tcp=27310, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=29113 nat 31: icmp=78, udp=836, tcp=19699, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=20613 nat 32: icmp=69, udp=1807, tcp=32956, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=34832 nat 33: icmp=1, udp=29, tcp=2796, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=2826 nat 34: icmp=69, udp=479, tcp=24091, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=24639 nat 35: icmp=3, udp=140, tcp=4799, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=4942 nat 37: icmp=17, udp=251, tcp=4281, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=4549 nat 38: icmp=63, udp=2679, tcp=43268, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=46010 nat 64: icmp=0, udp=199, tcp=2941, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=3140 nat 65: icmp=0, udp=610, tcp=2999, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=3609 nat 66: icmp=1, udp=1690, tcp=7648, sctp=0, pptp=2, proto=0, frag_id=2 frag_ptr=0 / tot=9343 nat 67: icmp=4, udp=1061, tcp=6268, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=7333 nat 68: icmp=0, udp=1567, tcp=3770, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=5337 nat 69: icmp=65, udp=652, tcp=5133, sctp=0, pptp=0, proto=0, frag_id=86 frag_ptr=0 / tot=5936 nat 70: icmp=4, udp=2047, tcp=6630, sctp=0, pptp=2, proto=0, frag_id=0 frag_ptr=0 / tot=8683 nat 71: icmp=4, udp=315, tcp=5447, sctp=0, pptp=4, proto=0, frag_id=0 frag_ptr=0 / tot=5770 nat 72: icmp=3, udp=338, tcp=3401, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=3742 nat 73: icmp=3, udp=1012, tcp=6264, sctp=0, pptp=1, proto=0, frag_id=0 frag_ptr=0 / tot=7280 nat 74: icmp=5, udp=1799, tcp=11373, sctp=0, pptp=3, proto=0, frag_id=0 frag_ptr=0 / tot=13180 nat 75: icmp=9, udp=2026, tcp=12259, sctp=0, pptp=8, proto=0, frag_id=0 frag_ptr=0 / tot=14302 nat 76: icmp=1, udp=597, tcp=4629, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=5227 nat 77: icmp=2, udp=328, tcp=2967, sctp=0, pptp=3, proto=0, frag_id=0 frag_ptr=0 / tot=3300 nat 78: icmp=6, udp=3333, tcp=16732, sctp=0, pptp=58, proto=0, frag_id=97 frag_ptr=0 / tot=20226 nat 79: icmp=2, udp=647, tcp=3746, sctp=0, pptp=1, proto=0, frag_id=0 frag_ptr=0 / tot=4396 nat 80: icmp=1, udp=2256, tcp=13327, sctp=0, pptp=20, proto=0, frag_id=0 frag_ptr=0 / tot=15604 nat 81: icmp=7, udp=1887, tcp=10885, sctp=0, pptp=9, proto=0, frag_id=0 frag_ptr=0 / tot=12788 nat 82: icmp=29, udp=1353, tcp=8849, sctp=0, pptp=5, proto=0, frag_id=0 frag_ptr=0 / tot=10236 nat 83: icmp=2, udp=495, tcp=4295, sctp=0, pptp=28, proto=0, frag_id=0 frag_ptr=0 / tot=4820 nat 84: icmp=8, udp=821, tcp=6017, sctp=0, pptp=0, proto=0, frag_id=1 frag_ptr=0 / tot=6847 nat 85: icmp=0, udp=42, tcp=610, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=652 nat 87: icmp=6, udp=637, tcp=5908, sctp=0, pptp=2, proto=0, frag_id=0 frag_ptr=0 / tot=6553 nat 88: icmp=6, udp=3040, tcp=5745, sctp=0, pptp=0, proto=0, frag_id=4 frag_ptr=0 / tot=8795 nat 90: icmp=4, udp=576, tcp=5988, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=6568 nat 91: icmp=0, udp=1237, tcp=2647, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=3884 nat 92: icmp=4, udp=1155, tcp=5125, sctp=0, pptp=2022, proto=0, frag_id=0 frag_ptr=0 / tot=8306 nat 93: icmp=6, udp=1085, tcp=10667, sctp=0, pptp=2, proto=0, frag_id=0 frag_ptr=0 / tot=11760 nat 94: icmp=13, udp=277, tcp=1646, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=1936 nat 95: icmp=2, udp=583, tcp=3391, sctp=0, pptp=2, proto=0, frag_id=0 frag_ptr=0 / tot=3978 nat 96: icmp=1, udp=136, tcp=2157, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=2294 nat 97: icmp=3, udp=26, tcp=573, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=602 nat 98: icmp=1, udp=1006, tcp=4728, sctp=0, pptp=1, proto=0, frag_id=0 frag_ptr=0 / tot=5736 nat 99: icmp=8, udp=903, tcp=6259, sctp=0, pptp=1, proto=0, frag_id=0 frag_ptr=0 / tot=7171 nat 100: icmp=3, udp=216, tcp=4377, sctp=0, pptp=3, proto=0, frag_id=0 frag_ptr=0 / tot=4599 nat 101: icmp=0, udp=20, tcp=165, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=185 nat 102: icmp=16, udp=7776, tcp=10331, sctp=0, pptp=13, proto=0, frag_id=3 frag_ptr=0 / tot=18139 nat 103: icmp=0, udp=14, tcp=121, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=135 nat 104: icmp=0, udp=13, tcp=298, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=311 nat 105: icmp=0, udp=2, tcp=91, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=93 nat 109: icmp=3, udp=1335, tcp=8232, sctp=0, pptp=15, proto=0, frag_id=0 frag_ptr=0 / tot=9585 nat 111: icmp=5, udp=384, tcp=1994, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=2383 nat 112: icmp=0, udp=11, tcp=140, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=151 nat 116: icmp=0, udp=49, tcp=472, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=521 nat 118: icmp=0, udp=42, tcp=236, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=278 nat 119: icmp=5, udp=32, tcp=782, sctp=0, pptp=11, proto=0, frag_id=0 frag_ptr=0 / tot=830 nat 123: icmp=0, udp=0, tcp=15, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=15 nat 124: icmp=0, udp=1, tcp=16, sctp=0, pptp=2, proto=0, frag_id=0 frag_ptr=0 / tot=19 nat 125: icmp=140, udp=3929, tcp=24986, sctp=0, pptp=380, proto=5, frag_id=0 frag_ptr=0 / tot=29440 nat 128: icmp=0, udp=20, tcp=1858, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=1878 привязка прерываний к ядру (HT отключен): cpuset -l 0 -x 264 cpuset -l 1 -x 265 cpuset -l 2 -x 266 cpuset -l 3 -x 267 cpuset -l 0 -x 269 cpuset -l 1 -x 270 cpuset -l 2 -x 271 cpuset -l 3 -x 272 пропатчен размер таблицы: /sys/netinet/libalias/alias_local.h #define LINK_TABLE_OUT_SIZE 63997 #define LINK_TABLE_IN_SIZE 63997
  6. если кому-то интересно, то есть результаты попытки запустить NAT на VPP 18.10. пробовал режим nat44 - неудачно: - из-за невозможности привязать пул к внешнему IP пользователи постоянно получают разный IP (по мере использования портов). - PPTP VPN, FTP так и не работает через nat44 - и самое главное - постоянно падает под нагрузкой ~ 5-6 Gbit/s
  7. Sоrk

    NAT на freebsd

    ipfw kernel nat на Xeon E5-1650 v4 + Intel X520 + FreeBSD 12.0-RELEASE-p1 результат такой. Реально ли на PF NAT получить меньшую нагрузку?
  8. вот Azure и AWS тоже наверное нетехнологичные компании и почему-то никак не дают публичные IP на сервера без NAT https://social.msdn.microsoft.com/Forums/azure/en-US/2b95cab8-f6b8-49fc-885f-8749a0d1213d/public-ip-without-nat?forum=WAVirtualMachinesVirtualNetwork https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#concepts-public-addresses
  9. Sоrk

    BDCOM 3616 проблема

    наблюдается аналогичная проблема на P3616-2TE с прошивкой 48290 (новая залита, но ребут еще не делали). при массовом пропадании электричества у абонентов минут на 20-40 пропадает из доступа (хотя сама не перегружается - UPS), трафик через себя форвардит (подключенные абоненты работают, абоненты в ethernet-портах работают), новых абонентов подключает очень медленно. конфиг перед инцидентами сохранялся (максимум 5-10 новых ONU подлючается) в шаблоне команды write нет если 3616 перегрузить не дожидаясь 20-40 минут, то все включаются сразу и без проблем.
  10. в Украине фактически декрет - 70 дней до родов и 56 дней после родов (эти дни оплачиваются как больничный) + 10 тыс грн единоразово. Все остальные 3 года это пособие 800 грн, на которые можешь жить как хочешь в своё удовольствие. Так что мы можем гордиться заботой о матерях - 3 года бедности гарантировано и рекомендовано государством. На фоне реальности - 3-4-6-12 месяцев оплачиваемого декрета в других странах выглядят повеселее.
  11. Sоrk

    FreeBSD: утечка памяти

    я имел в виду что результатом является только увеличение значения free памяти, никаких других улучшений это не даёт. что и логично, если inact память "отдалась" этому простому приложению, то она так же будет отдаваться любому другому.
  12. Sоrk

    FreeBSD: утечка памяти

    #include <stdlib.h> #include <string.h> #include <unistd.h> int main(int argc, char** argv) { size_t s = 1024*1024*1024; /* 1 GB */ void* p = malloc(s); memset(p, 0, s); sleep(5); free(p); return 0; } вот такой код работает, превращает inact во free, но разница только в графиках в системе мониторинга. проверено на живом сервере, ничего не падает.
  13. так же стоит убрать same_ports Детали тут: http://www.major12.net/2014/05/high-cpu-load-with-freebsd-ipfw-nat.html еще одно слабое место ipfw nat это redirect_address - если есть хотя-бы сотня таких трансляций и кто-то запустит интенсивное сканирование на этот диапазон, то 100% CPU гарантирован
  14. Sоrk

    Настройка catv в ONU

    мы тоже так вначале думали - давайте ставить IPTV-приставки ... не пошло, люди включаются к конкурентам у кого есть кабельное ТВ. Тогда мы решили - давайте сделаем цифровое ТВ, ведь у всех уже современные телевизоры и в них должно быть DVB-C ... Люди пошли, но оказалось что у них есть один нормальный телевизор и 3 старых, на который они не хотят покупать кабельную приставку ... В результате оказалось что аналоговое кабельное ТВ всё ещё пользуется спросом, что бы там не говорили что цифровое приёмник есть везде.
  15. два варианта. Если на предприятии организована служба охраны труда, то тут же и получить (эта служба обязана организовать/провести обучение, проверку знаний и выдачу удостоверений). Или пройти обучение и экзамен в учебных центрах (гугл в помощь). Но без свой службы ОТ корочка только формальность (а для большинства работ нужно минимум 2 человека), получившим допуск нужно будет не забывать правильно выполнять все "ритуалы" с журналами, допусками, инструктажами, распоряжениями на работы и т.д.
×