Перейти до

BRAS (NAS) 5k+ PPPoE


Рекомендованные сообщения

в том же putty поставить галочку keep alive

Кстати дефолтовое значение TCP Keep-Alive - 2 часа, т.е. раз в 2 часа будет слать пакетик. Я putty не пользуюсь, не знаю, но вы уверены, что сработает с вашими 10 минутными таймаутами?

Ссылка на сообщение
Поделиться на других сайтах
  • Відповіді 101
  • Створено
  • Остання відповідь

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

Главное правило админа - не делать супер-коробку которая потянет все. Поставьте 2 Линукс-тазика попроще, они отлично сбалансируются и обеспечат резерв. А под 2-3к сессий достаточно весьма простог

sysctl.conf net.netfilter.nf_conntrack_max = 524288 net.netfilter.nf_conntrack_buckets = 131072 net.netfilter.nf_conntrack_tcp_timeout_established = 600 net.netfilter.nf_conntrack_tcp_timeout_syn

Прерывания в ядро не упруться? У человека же pppoe, интела его не любят. 

5 часов назад, KaYot сказал:

Главное правило админа - не делать супер-коробку которая потянет все.

Поставьте 2 Линукс-тазика попроще, они отлично сбалансируются и обеспечат резерв. А под 2-3к сессий достаточно весьма простого железа, 1u сервера на e3-1220.

 

Так оно и будет, если пойдет. Сейчас на двух тазиках под микротик это все и работает. Просто хочется попробовать что-то другое, возможно йти от микротика, а на чем-то нужно проводить эксперименты. Просто эти эксперименты придется проводить на живых абонах. Вот и интересуюсь какие могут быть подводные камни с виртуалками.... Если все будет как минимум не хуже микротика х86 работать - то смело можно менять на НАСах операционку ;)

Ссылка на сообщение
Поделиться на других сайтах
1 час назад, sanyadnepr сказал:

Двойные стандарты, они такие...

Раз домашний, так можно и костылями подпереть. 

Тройные.

Вы ж юрикам для "рабочего" интернета серые IP не даете? А вот домашним почему-то можно, а ведь веб сервер работать не будет и по ssh снаружи вообще не достучаться. Интернет говно?

Ссылка на сообщение
Поделиться на других сайтах
3 часа назад, KaYot сказал:
4 часа назад, sanyadnepr сказал:

Двойные стандарты, они такие...

Раз домашний, так можно и костылями подпереть. 

Тройные.

Вы ж юрикам для "рабочего" интернета серые IP не даете? А вот домашним почему-то можно, а ведь веб сервер работать не будет и по ssh снаружи вообще не достучаться. Интернет говно?

Мы даем серый, если им белый не нужен. Экономика должна быть экономной. Если кому нужен, может взять белый, вне зависимости юрик или физик.

Мы же тут техническую сторону вопроса обсуждаем. А "политика партии", так она у всех разная, как и стандарты. Оно и еще где то обязательно выстрелит. 

Интернет говно, если постоянно-периодически ssh консоль дохнет, а у "Вася-нет" не дохнет, значит подключимся и посоветуем подключиться к "Вася-нет". 

Ссылка на сообщение
Поделиться на других сайтах
22 минуты назад, sanyadnepr сказал:

Мы даем серый, если им белый не нужен. Экономика должна быть экономной. Если кому нужен, может взять белый, вне зависимости юрик или физик.

Мы же тут техническую сторону вопроса обсуждаем. А "политика партии", так она у всех разная, как и стандарты. Оно и еще где то обязательно выстрелит. 

Интернет говно, если постоянно-периодически ssh консоль дохнет, а у "Вася-нет" не дохнет, значит подключимся и посоветуем подключиться к "Вася-нет". 

Мне кажется сильно за уши притянуто.

Ссылка на сообщение
Поделиться на других сайтах

Почему притянуто, если нат кривой и ломает все долгие сессии TCP? Одним ssh это явно не ограничивается.

В принципе если уже костылить, то ssh и telnet и еще пару протоколов с длинными сессиями, типа впнов и прокси, можно пустить через нормальный нат без таймаутов, а остальное пусть с таймаутами бегает. Т.е. все что на 22 и 23 портах. И уже будет юзабельнее.

Ссылка на сообщение
Поделиться на других сайтах
27 минут назад, l1ght сказал:
50 минут назад, sanyadnepr сказал:

Мы даем серый, если им белый не нужен. Экономика должна быть экономной. Если кому нужен, может взять белый, вне зависимости юрик или физик.

Мы же тут техническую сторону вопроса обсуждаем. А "политика партии", так она у всех разная, как и стандарты. Оно и еще где то обязательно выстрелит. 

Интернет говно, если постоянно-периодически ssh консоль дохнет, а у "Вася-нет" не дохнет, значит подключимся и посоветуем подключиться к "Вася-нет". 

Мне кажется сильно за уши притянуто.

Серьезно, притянуто ? 

Не поставим еще один тазик для ната, а будем тюнить и оптимизировать текущий, пока не выжмем из него все соки.

Так давай еще и сессию раз в сутки рубить, так интересней. :)

Будем стремиться вниз, а не вверх. 

 

Ссылка на сообщение
Поделиться на других сайтах

ну во всяких PPP когда брас не умеет СоА это бест практис установки session-timeout в сутки

а на счет ната... к чему этот бугурт? возмите и попробуйте так ли всё ужасно

Ссылка на сообщение
Поделиться на других сайтах
В 01.03.2018 в 13:13, l1ght сказал:

ну банальный q-in-q должен пролезть легко

главное что б с мту было всё ок

 

зае**ли адепты PMTU!!!!!! :lol:

Ссылка на сообщение
Поделиться на других сайтах

ну во всяких PPP когда брас не умеет СоА это бест практис установки session-timeout в сутк

А какая разница что там у PPP обрывается и пересоединяется, TCP же выше уровнем и на него это не влияет.

Ссылка на сообщение
Поделиться на других сайтах

@ttttt

1 час назад, sanyadnepr сказал:

Так давай еще и сессию раз в сутки рубить, так интересней.

 

32 минуты назад, l1ght сказал:

ну во всяких PPP когда брас не умеет СоА это бест практис установки session-timeout в сутки

 

Ссылка на сообщение
Поделиться на других сайтах

Как обычно, техническая тема превратилась в тупой гон и мерянье шириной члена.

 

Домашним пользователям нах не сдался "ssh не посылающий ничего полчаса", им он просто до зёпы. Никаких негативных моментов в таком тюнинге нет, это из долгой практики.

 

Попросили тюнинг - получили тюнинг. Никто насильно не заставляет использовать мои настройки, ставьте 24 часа на хранение трансляции, не будет ssh рваться. Но ценой бесполезной загрузки системы.

  • Like 1
Ссылка на сообщение
Поделиться на других сайтах
В 04.03.2018 в 19:35, KaYot сказал:

sysctl.conf


net.netfilter.nf_conntrack_max = 524288
net.netfilter.nf_conntrack_buckets = 131072
net.netfilter.nf_conntrack_tcp_timeout_established = 600

net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 60
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 20

Сам НАТ в iptables


-A POSTROUTING -o bond0.7 -s 172.20.0.0/16 -j SNAT --to xx.xx.xx.128-xx.xx.xx.254 --persistent

 

Якраз готую новий NAT на Linux, у серверному парку є NAT сервери на FreeBSD й там натити через пул IP можливо лише через вказання CIDR мережі, якщо використовувати, наприклад, медот soure-hash...Гадаю, логічніше, якщо використовувати пул /25, було б SNAT робити на пул xxx.xxx.xxx.129 - xxx.xxx.xxx.254.

Ссылка на сообщение
Поделиться на других сайтах
10 часов назад, KaYot сказал:

Как обычно, техническая тема превратилась в тупой гон и мерянье шириной члена.

 

Домашним пользователям нах не сдался "ssh не посылающий ничего полчаса", им он просто до зёпы. Никаких негативных моментов в таком тюнинге нет, это из долгой практики.

 

Попросили тюнинг - получили тюнинг. Никто насильно не заставляет использовать мои настройки, ставьте 24 часа на хранение трансляции, не будет ssh рваться. Но ценой бесполезной загрузки системы.

+++

Ссылка на сообщение
Поделиться на других сайтах
1 час назад, Cybernet1k сказал:

Гадаю, логічніше, якщо використовувати пул /25, було б SNAT робити на пул xxx.xxx.xxx.129 - xxx.xxx.xxx.254

Синтаксис в iptables SNAT очень гибкий.

Вы можете задать нужную /25 подсеть в явном виде, "--to xx.xx.xx.129/25", тут нужно правильно считать.

А можете просто указать любой список IP, хоть в виде диапазона, хоть отдельными адресами. Например "--to xx.1-xx.10", или даже "--to  xx.1 --to  xx.3 --to  xx.5"

Ссылка на сообщение
Поделиться на других сайтах
В 05.03.2018 в 09:05, lemosh сказал:

на НАГе пишут что 3.16 оптимальное

3.10 точно стабильно работает, годами. и вроде как 4.12 тоже нормально по отзывам.

с 3.14 или 3.18 (не помню) были грабли при удалении правил шейпера по завершении сессии (race condition), пришлось поправить скрипт шейпера, перекинуть удаление старых правил с if-down в if-up. с 3.18-3.19 по 4.8-4.9 были грабли порой с race condition при создании-удалении pppoe ифейсов (хотя вроде в 4.9 ветке это таки уже пофиксили).

 

19 часов назад, ttttt сказал:

Ой боже, не фантазируйте о тактах ЦПУ в линуксовом ядерном сетевом стеке, там вообще 90% проца расходуется впустую.

там скорее вымывание кеша будет. чем жирнее табличка - тем хуже кешам.

 

хотя да, 10 минут - как по мне перебор. хотя бы несколько часов оставить.

Відредаговано NiTr0
Ссылка на сообщение
Поделиться на других сайтах

там натити через пул IP можливо лише через вказання CIDR мережі

В ядерном ipfw nat можно использовать произвольное количество инстанций ната и вообще использовать lookup table и любую логику ipfw, куда уже более гибко.

Ссылка на сообщение
Поделиться на других сайтах
  • 1 month later...
  • 2 weeks later...

кто по опыту скажет, HT в ситуации, когда серв используется для NAT+routing лучше выключить или включить?
и для терминации PPPoE? лучше с HT или без?

Ссылка на сообщение
Поделиться на других сайтах

 

заметил такую штуку в RouterOS: при включении HT на многопоточных сетевых становится доступно в два раза больше потоков (т.к. типа ядер больше)

 

так а для PPPoE сервера тоже лучше без HT?

 

Ссылка на сообщение
Поделиться на других сайтах

Число потоков драйвер сетевки создает по числу видимых в системе ядер, не важно настоящих или виртуальных.

Ну а PPPoE сервер это маршрутизатор в чистом виде

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від Alain_MG
      Всем привет, Я работаю над проектом GPON с оборудованием OLT GP2508. Я пришел к этапу «АВТОРИЗАЦИЯ» на уровне сервера Freeradius. Мой сабик и вопрос в том, что я хочу создать профиль 512M например на сервере Freeradius, и еще я не хочу ограничение пропускной способности не на уровне сервера PPPoE а скорее на OLT, как сделать чтобы профиль создавался на OLT будет на уровне RADIUS? СПАСИБО
    • Від apels1n
      Доброго времени суток, есть два микрота CCR1036 в качестве брасов. На первом ~800 абонов, на втором ~1000. Оба микрота имеют шейпер на simple queue и нат. С обоими микротами есть проблема, а именно при пппое скорость загрузки 950+ мегабит, а скорость отдачи еле достигает 350 мегабит. Если мерять минуя пппое и шейпер, воткнувшись в микрот напрямую и получув адрес по дхцп, то скорость стабильно 970 мегабит в обе стороны. Пробовал поменять pps для шейпера, поставил вместо 50 pps 500 и скорость отдачи начала доходить до 400 мегабит. У микротов аплинки 10г по оптике, средний трафик с микрота в районе 1.5 - 2 Гбита. Упора в процессор нет, средняя нагрузка в пределах 15-30%. Подскажите в чём может быть дело?
       
      Конфиг
      /interface bridge add admin-mac=08:55:31:B4:51:F8 auto-mac=no name=bridge1 add disabled=yes name=loopback /interface ethernet set [ find default-name=ether2 ] comment=Test_routers /interface vlan add interface=sfp-sfpplus2 name=vlan36 vlan-id=36 add interface=sfp-sfpplus2 name=vlan101 vlan-id=101 add interface=sfp-sfpplus2 name=vlan102 vlan-id=102 add interface=sfp-sfpplus2 name=vlan103 vlan-id=103 add interface=sfp-sfpplus2 name=vlan104 vlan-id=104 add interface=sfp-sfpplus2 name=vlan105 vlan-id=105 add interface=sfp-sfpplus2 name=vlan106 vlan-id=106 add interface=sfp-sfpplus2 name=vlan107 vlan-id=107 add interface=sfp-sfpplus2 name=vlan108 vlan-id=108 add interface=sfp-sfpplus2 name=vlan109 vlan-id=109 add interface=sfp-sfpplus2 name="vlan1426" vlan-id=1426 add interface=sfp-sfpplus2 name=vlan1543 vlan-id=1543 /interface list add name=management /ip pool add name=pool1 ranges=192.168.100.10-192.168.100.20 /ip dhcp-server add address-pool=pool1 interface=ether7 name=dhcp-88 /port set 0 name=serial0 set 1 name=serial1 /ppp profile add change-tcp-mss=yes dns-server=XX.XX.XX.1 local-address=198.18.0.1 name=\ PPPtP add change-tcp-mss=yes dns-server=XX.XX.XX.1 local-address=XX.XX.XX.100 \ name=PPPoE use-compression=no use-encryption=no /queue type set 0 pfifo-limit=500 /routing bgp template set default as=4XXX9 disabled=no input.filter=bgp-in nexthop-choice=\ force-self output.filter-chain=bgp-out .redistribute=connected router-id=\ XX.XX.XX.100 routing-table=main /interface bridge port add bridge=bridge1 interface=ether8 pvid=101 /ip neighbor discovery-settings set discover-interface-list=management /ip settings set max-neighbor-entries=8192 /ipv6 settings set disable-ipv6=yes forward=no max-neighbor-entries=8192 /interface list member add interface=ether8 list=management /interface pppoe-server server add default-profile=PPPoE disabled=no interface=vlan101 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=6 add default-profile=PPPoE disabled=no interface=vlan102 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=7 add default-profile=PPPoE disabled=no interface=vlan103 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=6 add default-profile=PPPoE disabled=no interface=vlan104 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=6 add default-profile=PPPoE disabled=no interface=vlan105 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=7 add default-profile=PPPoE disabled=no interface=vlan106 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=6 add default-profile=PPPoE disabled=no interface=vlan107 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=7 add default-profile=PPPoE disabled=no interface=vlan108 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=6 add default-profile=PPPoE disabled=no interface=vlan109 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=6 add default-profile=PPPoE disabled=no interface=vlan36 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=7 service-name=vlan36 add default-profile=PPPoE disabled=no interface=ether2 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 /interface pptp-server server set default-profile=PPPtP /ip address add address=XX.XX.XX.100/25 comment="UP IP (NAT no_money)" interface=\ sfp-sfpplus2 network=XX.XX.XX.0 add address=XX.XX.XX.59 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.59 add address=XX.XX.XX.60 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.60 add address=XX.XX.XX.61 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.61 add address=XX.XX.XX.62 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.62 add address=XX.XX.XX.63 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.63 add address=XX.XX.XX.64 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.64 add address=XX.XX.XX.65 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.65 add address=XX.XX.XX.66 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.66 add address=XX.XX.XX.67 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.67 add address=XX.XX.XX.68 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.68 add address=XX.XX.XX.69 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.69 add address=XX.XX.XX.70 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.70 add address=XX.XX.XX.71 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.71 add address=XX.XX.XX.72 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.72 add address=XX.XX.XX.73 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.73 add address=XX.XX.XX.74 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.74 add address=198.18.0.100 comment="For OSPF" disabled=yes interface=loopback \ network=198.18.0.100 add address=192.168.100.1/24 comment=test interface=ether7 network=\ 192.168.100.0 add address=XX.XX.XX.59/29 interface="vlan1426 " network=\ XX.XX.XX.56 add address=10.5.4.2/30 comment="local-management(DONT_TOUCH)" interface=\ ether8 network=10.5.4.0 add address=XX.XX.XX.4/29 interface=vlan1543 network=\ XX.XX.XX.0 /ip dhcp-server network add address=192.168.100.0/24 dns-server=XX.XX.XX.1 gateway=192.168.100.1 netmask=24 /ip dns set servers=XX.XX.XX.1 ip firewall address-list add address=XX.XX.XX.0/24 disabled=yes list=bgp-networks add address=city24.ua comment=city24.ua list=allow_negative add address=privat24.ua comment=privat24.ua list=allow_negative add address=next.privat24.ua comment=next.privat24.ua list=allow_negative /ip firewall nat add action=same chain=srcnat comment="Corp100 -> XX.XX.XX.100" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.100.0/24 to-addresses=XX.XX.XX.100 add action=same chain=srcnat comment="192.168.240.0/24 -> XX.XX.XX.59" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.240.0/24 to-addresses=XX.XX.XX.59 add action=same chain=srcnat comment="192.168.241.0/24 -> XX.XX.XX.60" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.241.0/24 to-addresses=XX.XX.XX.60 add action=same chain=srcnat comment="192.168.242.0/24 -> XX.XX.XX.61" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.242.0/24 to-addresses=XX.XX.XX.61 add action=same chain=srcnat comment="192.168.243.0/24 -> XX.XX.XX.62" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.243.0/24 to-addresses=XX.XX.XX.62 add action=same chain=srcnat comment="192.168.244.0/24 -> XX.XX.XX.63" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.244.0/24 to-addresses=XX.XX.XX.63 add action=same chain=srcnat comment="192.168.245.0/24 -> XX.XX.XX.64" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.245.0/24 to-addresses=XX.XX.XX.64 add action=same chain=srcnat comment="192.168.246.0/24 -> XX.XX.XX.65" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.246.0/24 to-addresses=XX.XX.XX.65 add action=same chain=srcnat comment="192.168.247.0/24 -> XX.XX.XX.66" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.247.0/24 to-addresses=XX.XX.XX.66 add action=same chain=srcnat comment="192.168.248.0/24 -> XX.XX.XX.67" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.248.0/24 to-addresses=XX.XX.XX.67 add action=same chain=srcnat comment="192.168.249.0/24 -> XX.XX.XX.68" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.249.0/24 to-addresses=XX.XX.XX.68 add action=same chain=srcnat comment="192.168.250.0/24 -> XX.XX.XX.69" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.250.0/24 to-addresses=XX.XX.XX.69 add action=same chain=srcnat comment="192.168.251.0/24 -> XX.XX.XX.70" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.251.0/24 to-addresses=XX.XX.XX.70 add action=same chain=srcnat comment="192.168.252.0/24 -> XX.XX.XX.71" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.252.0/24 to-addresses=XX.XX.XX.71 add action=same chain=srcnat comment="192.168.253.0/24 -> XX.XX.XX.72" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.253.0/24 to-addresses=XX.XX.XX.72 add action=same chain=srcnat comment="192.168.254.0/24 -> XX.XX.XX.73" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.254.0/24 to-addresses=XX.XX.XX.73 add action=same chain=srcnat comment="192.168.255.0/24 -> XX.XX.XX.74" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.255.0/24 to-addresses=XX.XX.XX.74 add action=same chain=dstnat disabled=yes dst-address-list=pub_dns \ same-not-by-dst=no to-addresses=XX.XX.XX.1 add action=same chain=srcnat comment="negative 192.168 -> XX.XX.XX.100" \ dst-address-list=allow_negative out-interface=sfp-sfpplus2 \ same-not-by-dst=yes src-address-list=negative to-addresses=XX.XX.XX.100 add action=dst-nat chain=dstnat comment="Negative redirect to Billing" \ dst-port=80,443 log-prefix=Negtive protocol=tcp src-address-list=negative \ to-addresses=XX.XX.XX.236 to-ports=2096 add action=masquerade chain=srcnat dst-address-list=fix-blocked-sites \ out-interface-list=bypass src-address-list=!negative to-addresses=\ 78.154.181.59 /ip firewall raw add action=drop chain=prerouting comment=Block-RU disabled=yes \ dst-address-list=block add action=drop chain=prerouting comment="Full block TCP negative (not WWW)" \ dst-address-list=!allow_negative dst-port=!53 protocol=tcp \ src-address-list=negative add action=drop chain=prerouting comment="Full block UDP negative (not WWW)" \ dst-address-list=!allow_negative dst-port=!53 protocol=udp \ src-address-list=negative add action=drop chain=prerouting comment=Block-WInBox-not-from-management \ dst-port=8291 protocol=tcp src-address-list=!allowed_management add action=drop chain=prerouting comment=Block-SSH-not-from-management \ dst-port=7722 protocol=tcp src-address-list=!allowed_management add action=drop chain=prerouting comment=Block-SNMP-not-from-zabbix dst-port=\ 161 protocol=udp src-address=!XX.XX.XX.236 /ip route add disabled=no dst-address=0.0.0.0/0 gateway=XX.XX.XX.1 /ppp aaa set interim-update=5m use-radius=yes /radius add address=XX.XX.XX.236 comment=Billing service=ppp /radius incoming set accept=yes port=XXXX /routing bgp connection add as=4XXX9 disabled=no input.filter=ospf-in listen=yes local.address=\ XX.XX.XX.100 .role=ibgp name=border nexthop-choice=force-self \ output.filter-chain=ospf-out .redistribute=connected remote.address=\ XX.XX.XX.1/25 .as=4XXX9 router-id=XX.XX.XX.100 routing-table=main \ templates=default add cisco-vpls-nlri-len-fmt=auto-bits connect=yes listen=yes local.role=ibgp \ name=mikrot101 nexthop-choice=force-self remote.address=XX.XX.XX.101 \ .as=4XXX9 .port=179 templates=default /routing filter rule add chain=ibgp-in disabled=no rule=\ "if (dst in XX.XX.XX.128/25 && dst-len==32) {accept} else {reject}" add chain=ibgp-out disabled=no rule=\ "if (dst in XX.XX.XX.128/25 && dst-len==32) {accept} else {reject}" /system logging set 0 topics=info,!ppp,!pppoe set 1 topics=error,!ppp /system ntp client set enabled=yes /system ntp client servers add address=0.ua.pool.ntp.org add address=1.ua.pool.ntp.org add address=2.ua.pool.ntp.org add address=3.ua.pool.ntp.org /tool bandwidth-server set enabled=no /tool mac-server set allowed-interface-list=management /tool mac-server mac-winbox set allowed-interface-list=management /tool mac-server ping set enabled=no  
    • Від rusol
      Всем привет.
       
      Прошу помощи, не могу уже больше года побороть одну проблему.
       
      Иногда (раз в неделю, раз в месяц...), в основном в час пик, резко вырастает interrupt на одном из четырех ядер на сервере, на котором FreeBSD 10.1 + Nodeny + IPFW + PF + DHCP, при этом клиенты жалуются, что очень тупит интернету.
       
      Я этот симптом вижу на сервере так через top -SHPi:

       
       
      Так же наблюдаю значительное увеличение пакетов через команду netstat -hdw1 -i ix0
       
      Помогает в таких ситуациях следующее:
       
      1. Выключение на пару секунд и включение всех клиентских портов на центральном коммутаторе.
      2. Выключение по одному порту на центральном коммутаторе, но не всегда этот метод срабатывает.
      3. Иногда помогает перезагрузка сервера (но не всегда).
       
      Подскажите, на что в такой ситуации еще обратить внимание? Я ведь купирую следствие проблемы, но саму проблему не могу определить.
       
      Готов заплатить за помощь.
       
    • Від ppv
      Підкажіть, як правильно витягувати неактивних користувачів з address-list DENY. При налаштуваннях нище при зміні балансу на позитивний сесія не розривається, відповідно користувач не перепідключається з іншими параметрами.  Скеруйте в правильному напрямку якщо хтось реалізовував.  Білінг тестовий, цікава реалізація.
       

       
    • Від LENS
      Продолжаем делать хорошие дела!
       
      Нам нужно сделать два добрых дела:
      Найти нового хозяина для сервера в корпусе 2U - 3.3 Ghz и 4Gb RAM. Отличный вариант для провайдеров как BRAS сервер! В комплекте рельсы для установки в шкаф Помочь больным детям  
       
      Стартовая цена 999 грн
      Заявки до 20:00 20 Декабря 2021 и кто даст больше, тому сервер и достанется.
      Далее выбираете нескольких детей на https://dobro.ua/ и отправляете переводы на общую сумму, скидываете сюда скрины и сервер ваш.
      Забрать сервер можно в Киеве, либо новой почтой.






×
×
  • Створити нове...