NAT на freebsd

ramsess · February 12, 2019

А как у pf_nat обстоят дела с многоядерными системами ? Все еще печалька ?

PraS · November 4, 2019

В 12.02.2019 в 20:02, ramsess сказал:

А как у pf_nat обстоят дела с многоядерными системами ? Все еще печалька ?

C 10 версии FreeBSD SMP работает на PF

так что все нормально паралелиться.

WideAreaNetwork · February 18, 2020

может кто подскажет, как на FreeBSD посмотреть сколько съедает ресурсов проца PF ?

ISK · February 18, 2020

top -HPS (К.О), а вообще, исходя из Ваших мощностей и нагрузок. Скажу сразу - совсем немного (раза в 3, так) по сравнению с ipwf NAT. Даже на старенькой оборудке, да.

P. S.: Сам использовал связку ipwf+pfnat...

WideAreaNetwork · February 18, 2020

3 часа назад, ISK сказав:

top -HPS

pf не видел в списке потому и спросил может быть есть другой способ увидеть, а получилось что он настолько мало ест ресурсов что просто не попадает в список

ISK · February 19, 2020

9 часов назад, WideAreaNetwork сказал:

pf не видел в списке потому и спросил может быть есть другой способ увидеть, а получилось что он настолько мало ест ресурсов что просто не попадает в список

Забыл сказать - если pf у Вас в ядре, то никак...

WideAreaNetwork · February 19, 2020

47 минут назад, ISK сказав:

если pf у Вас в ядре, то никак

нет не в ядре, но хочу скомпилить ядро с ним

KaYot · February 19, 2020

18 минут назад, WideAreaNetwork сказал:

нет не в ядре, но хочу скомпилить ядро с ним

А смысл? В *nix-мире не важно в ядре модуль или отдельно, на скорость это не влияет.

ISK · February 19, 2020

1 час назад, WideAreaNetwork сказал:

нет не в ядре, но хочу скомпилить ядро с ним

Смотрите в kldstat, есть ли он там? Если да, то все равно не увидите...

44 минуты назад, KaYot сказал:

А смысл? В *nix-мире не важно в ядре модуль или отдельно, на скорость это не влияет.

Смотря какой модуль. Возьмите хотя бы ущербный однопоточный dummynet в ipfw...

Edited February 19, 2020 by ISK

Baneff · February 19, 2020

11 минут назад, ISK сказал:

Смотря какой модуль. Возьмите хотя бы ущербный однопоточный dummynet в ipfw...

От же ж. Ну почему он ущербный? Однопоточность его - это единственный недостаток, который работе не мешает. Он и в один поток шейпит прекрасно. Чем шейпить-то будете?

Baneff · February 19, 2020

И ещё, на всякий случай напомню, что dummynet - это только одна из частей ipfw, которая занимается только шейпингом, всё остальное в ipfw прекрасно параллелится.

ISK · February 19, 2020

1 минуту назад, Baneff сказал:

Чем шейпить-то будете?

Вот то-то же и оно, что больше нечем...

6 минут назад, Baneff сказал:

всё остальное в ipfw прекрасно параллелится.

Вот, расскажу из собственного субъективного опыта:

3 года назад юзал ipfw kernel nat, который работал как часы. Но когда абонов резко прибавилась, а нагрузки возросли до 120 kpps (при скорости более 600 Мбит/сек) он начал перманентно загинаться на ровном месте. При этом dummynet, резко начинал грузить 1 ядро CPU в 100% и с ним ничего нельзя было сделать, даже прибить. Остальные 7 ядер тоже были на 98-99%. В общем беда-печаль. Решилось все переходом на связку ipfw+pf_nat. Тянет и по сей день, причем с той поры нагрузка возросла почти в 2 раза. И dummynet теперь 0,1 - 0,5%.

Так-то...

Baneff · February 19, 2020

16 минут назад, ISK сказал:

Вот, расскажу из собственного субъективного опыта:

Ну вы пошли в обход вместо того, чтобы разобраться в чём дело. Я тоже из своего опыта: за много лет никогда не возникало необходимости включать pf и нагрузка как бы давно не 600кбит/с. Большую роль играет правильность составления правил ipfw. Всё должно быть логично, всё что можно - паковать в таблицы, минимум правил. А я встречал конфигурации, где были тысячи правил, так чего ж удивляться. Вот, например ниже график загрузки процессора (зелёный) и отдельно dummynet (синий) на довольно таки нагруженной машинке на боевом дежурстве. Никаких костылей, всё штатно.

ISK · February 19, 2020

2 часа назад, Baneff сказал:

Большую роль играет правильность составления правил ipfw. Всё должно быть логично, всё что можно - паковать в таблицы, минимум правил.

Ну как бы не первый раз с ipfw дело имел. Набор правил, 2 пайпа для шейпера и таблицы были стандартные от Ubilling + блокировка входящего трафика и всё - всего где-то 17 - 18 правил. Ничего особенного...

Baneff · February 19, 2020

1 час назад, ISK сказал:

Ну как бы не первый раз с ipfw дело имел. Набор правил, 2 пайпа для шейпера и таблицы были стандартные от Ubilling + блокировка входящего трафика и всё - всего где-то 17 - 18 правил. Ничего особенного...

Ну спорить не буду, у каждого свои ньюансы, всякое может быть.

WideAreaNetwork · February 19, 2020

5 часов назад, ISK сказав:

Смотрите в kldstat, есть ли он там?

естественно есть) просто модулем загружается

5 часов назад, ISK сказав:

И dummynet теперь 0,1 - 0,5%

можно узнать что использовалось из железа?

4 часа назад, Baneff сказав:

отдельно dummynet (синий) на довольно таки нагруженной машинке

интересует железо, и какой трафик бежал (pps, mbit)

ISK · February 19, 2020

9 минут назад, WideAreaNetwork сказал:

можно узнать что использовалось из железа?

Старое: HP Proliant DL360G5 2x Intel Xeon 5430 4@2.60GHZ, 8GB DDR2, дополнительно бралась 2-port Intel 82576 (igb).

17 минут назад, WideAreaNetwork сказал:

и какой трафик бежал (pps, mbit)

110-130 kpps, 600-700 Mbit/sec...

blackjack · February 19, 2020

В 08.02.2019 в 13:45, Sоrk сказал:

ipfw kernel nat

на Xeon E5-1650 v4 + Intel X520 + FreeBSD 12.0-RELEASE-p1 результат такой.

Реально ли на PF NAT получить меньшую нагрузку?

На чому сьогодні модно шейпити і натити 10г трафіка? Маю на увазі залізо, система фря.

KaYot · February 19, 2020

1 час назад, Конденсат Бозе-Эйнштейна сказал:

На чому сьогодні модно шейпити і натити 10г трафіка? Маю на увазі залізо, система фря.

Неверно задан вопрос. Правильнее - на какой системе это делать.

Мой NAT-box, centos 6.9 с ядром 4.9.50, Xeon E3-1220 v1, X520-DA2.

Разительная разница c картинками выше на BSD? E3-1220v1 слабее чем e5-1650v4 раза в 3.

WideAreaNetwork · February 19, 2020

10 минут назад, KaYot сказав:

Разительная разница c картинками выше на BSD? E3-1220v1 слабее чем e5-1650v4 раза в 3

да тут надо точно сравнивать, кроме ната есть еще что-то на машинах или нет, может не все озвучили

KaYot · February 19, 2020

Ну человек писал что кроме НАТа ничего нет. У меня тоже, разве что Quagga с RIPом маршруты гоняет.

Dimkers · February 19, 2020

Дайте и я писюном померяюсь. 2*X5672 @ 3.20GHz Старое говнецо HP Proliant DL360G6, а тащит. В ЧНН выдает тариф 200М без соплей. НАТ, Терминация с шейпом, птичка для маршрутов, блокировка запрщенных сайтов. Debian c kernel'ом 4,0,9

Edited February 19, 2020 by Dimkers

blackjack · February 19, 2020

1 час назад, Dimkers сказал:

Дайте и я писюном померяюсь. 2*X5672 @ 3.20GHz Старое говнецо HP Proliant DL360G6, а тащит. В ЧНН выдает тариф 200М без соплей. НАТ, Терминация с шейпом, птичка для маршрутов, блокировка запрщенных сайтов. Debian c kernel'ом 4,0,9

А яка мережева карточка?

Dimkers · February 20, 2020

Ну ясно что не гиговая 2-х портовка. Интел х520-da2

Edited February 20, 2020 by Dimkers

sanyadnepr · February 20, 2020

10 часов назад, KaYot сказал:

Неверно задан вопрос. Правильнее - на какой системе это делать.

Мой NAT-box, centos 6.9 с ядром 4.9.50, Xeon E3-1220 v1, X520-DA2.

Разительная разница c картинками выше на BSD? E3-1220v1 слабее чем e5-1650v4 раза в 3.

На BSD, на почти аналогичном Вашему трафику 3.5Г в пике и почти аналогичном камне литография 22nm, не Xeon, на x520-DA2 на NAT-е ровно такие же цифры загрузки проца 30% в пике.

Edited February 20, 2020 by sanyadnepr

Sign In

NAT на freebsd

Recommended Posts

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

KaYot

Dimkers

Sоrk

Posted Images

Create an account or sign in to comment

Create an account

Sign in

Recently Browsing 0 members

Similar Content