Перейти до

NAT на freebsd


Рекомендованные сообщения

3 часа назад, sanyadnepr сказал:

на x520-DA2 на NAT-е ровно такие же цифры загрузки проца 30% в пике.

Естественно. Если сетевая сама справляется с нагрузкой, то она лишний раз CPU прерываниями грузить не будет...

Ссылка на сообщение
Поделиться на других сайтах
  • Відповіді 153
  • Створено
  • Остання відповідь

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

Лучший НАТ на БСД это любой дистрибутив linux

Ага, он поставит сервак типо R210 или G6/7/8 за 400+.

Настройки ядра: /usr/src/sys/amd64/conf/GENERIC - ничего особенного #options      INET6  #disable IPv6 options         IPFIREWALL options         IPFIREWALL_NAT options         IPFIREWALL_DEFAULT

Posted Images

13 часов назад, Dimkers сказал:

Дайте и я писюном померяюсь. 2*X5672  @ 3.20GHz Старое говнецо HP Proliant DL360G6, а тащит. В ЧНН выдает тариф 200М без соплей. НАТ, Терминация с шейпом, птичка для маршрутов, блокировка запрщенных сайтов. Debian c kernel'ом 4,0,9

А шейпер для IPoE под дебианом как реализован? Имхо шейпинг - узкое место в софтовых брасах. Терминация, нат, файервол, птичка при  наличии x520-DA2 на любой системе до 10 гиг прокачается юзерского трафика при современной средней длине пакета около 900 байт. Поскольку всё отлично паралелится, а процессоры многоядерные и память сейчас копейки стоят на вторичном рынке. У FreeBSD вижу единственное узкое место - лучший шейпер этой системы dummynet не параллелится и это заставляет искать не столько многоядерные системы, сколько системы с максимальным быстродействием на одно ядро. Конечно, при правильной настройке шейпера такой тазик работает, но это несколько напрягает, да. Узкое место - оно и есть узкое место. Интересно, что dummynet зачем-то портировали на линукс, я по крайней мере видел это в новостях. Поскольку я ни разу не специалист по линуксу, то мне интересно, как там реализован шейпинг, обеспечивает ли он хорошее качество нарезки при минимальной нагрузке на процессор и паралелится ли он там?. Я не оспариваю того факта, что линукс, возможно, резвее чем FreeBSD на том-же железе, вполне может быть. Даже если так, то это всё равно не заставит меня переходить на другую ось ибо коней на переправе не меняют и таки главные постулаты админа по прежнему  "работает - не трогай" и "лучшее - враг хорошего". Увы, такова жизнь.

  • Like 1
Ссылка на сообщение
Поделиться на других сайтах
1 час назад, Baneff сказал:

А шейпер для IPoE под дебианом как реализован? 

 

ipt_ratelimit - практически не влияет на CPU, на скорости 8 гбит/с включение-выключение шейпера показывает около 5% разницы

  • Like 2
Ссылка на сообщение
Поделиться на других сайтах
19 минут назад, Sоrk сказал:

 

ipt_ratelimit - практически не влияет на CPU, на скорости 8 гбит/с включение-выключение шейпера показывает около 5% разницы

Ха, та кокой же это шейпер? Пакеты дропать много ума не надо, так и на фре можно без всяких там нагрузок. Шейпер под Дебиан есть? Ну хоть что-то близкое по функционалу к dummynet ?

Ссылка на сообщение
Поделиться на других сайтах
30 минут назад, Baneff сказал:

Ха, та кокой же это шейпер? Пакеты дропать много ума не надо, так и на фре можно без всяких там нагрузок. Шейпер под Дебиан есть? Ну хоть что-то близкое по функционалу к dummynet ?

Под линукс(от дистрибутива это не зависит в принципе) есть tc. Который позволяет сделать любое извращение, хоть полисер, хоть шейпер.

Ну и вопрос нужности шейпера для современных тарифов измеряемых десятками мегабит открыт - на кой он нужен? Я потихоньку перехожу на полисеры, никакой разницы кроме меньшей нагрузки на железо.

Ссылка на сообщение
Поделиться на других сайтах
1 минуту назад, KaYot сказал:

Под линукс(от дистрибутива это не зависит в принципе) есть tc. Который позволяет сделать любое извращение, хоть полисер, хоть шейпер.

Ну и вопрос нужности шейпера для современных тарифов измеряемых десятками мегабит открыт - на кой он нужен? Я потихоньку перехожу на полисеры, никакой разницы кроме меньшей нагрузки на железо.

Возможно. Я человек старой закалки и меня учили, что должен быть шейпер и тогда юзеры довольны и не достают поддержку, ничего у них не дергается и не обрывается. Это как-то связано со скоростью по тарифному плану? Типа если скорость высокая, то шейпер не нужен? Лично я сомневаюсь, но могу ошибаться. Однако тогда у меня появляется вопрос о корректности многочисленных сравнений фри и линукса. Это мы значит сравниваем систему с полноценным шейпингом (действительно даёт нагрузку на систему) с системой с тупым полисингом (никакой нагрузки, любой копеечный свич умеет). Уважаемые линоксоводы и линуксолюбы, это как, справедливо? Давайте включайте тогда ваш tc с включеннім шейпингом и тогда будем сравнивать. Или давайте мы на фре включим полисинг вместо шейпинга и тогда сравним. Думаю результаты вряд ли тогда будут сильно отличаться ибо в обеих системах сетевой стек давно вылизан и там уже некуда что-то оптимизировать, ну по мелочам разве.

Ссылка на сообщение
Поделиться на других сайтах

Смеялся. Пару месяцев назад на известном вражеском форуме обсуждалась тема "tc + centos 7 грузят процессор под 100%". Так вот, это вам ничего не напоминает? И главная рекомендация - перейдите на ipt_ratelimit  и оно попустит.  )))

Ссылка на сообщение
Поделиться на других сайтах
2 hours ago, Baneff said:

И, кстати, tc ваш параллелится?

 

Я не знаю, как можно сделать так, что бы пакетный фильтр в ядре не параллелился. :)

6 minutes ago, Baneff said:

Смеялся. Пару месяцев назад на известном вражеском форуме обсуждалась тема "tc + centos 7 грузят процессор под 100%". Так вот, это вам ничего не напоминает? И главная рекомендация - перейдите на ipt_ratelimit  и оно попустит.  )))

 

 

Видимо, проще посоветовать человеку перейти на ratelimit, нежели объяснить, как не надо классифицировать трафик. :)

Ссылка на сообщение
Поделиться на других сайтах
9 минут назад, vop сказал:

Я не знаю, как можно сделать так, что бы пакетный фильтр в ядре не параллелился. :)

Видимо, проще посоветовать человеку перейти на ratelimit, нежели объяснить, как не надо классифицировать трафик. :)

Где тут речь была о пакетном фильтре? Он и на фре паралелится. Речь была о шейпере. Шейпер в tc многопоточный? Не делайте вид, что не понимаете разницы. И да, проще посоветовать человеку перейти на ratelimit и это не потому, что человек этот тупой, а потому что другого решения проблемы просто нет, по крайней мере там в обсуждении его никто не предложил.

Відредаговано Baneff
Ссылка на сообщение
Поделиться на других сайтах
3 minutes ago, Baneff said:

Где тут речь была о пакетном фильтре? Он и на фре паралелится. Речь была о шейпере. Шейпер в tc многопоточный? Не делайте вид, что не понимаете разницы. И да, проще посоветовать человеку перейти на ratelimit и это не потому, что человек этот тупой, а потому что другого решения проблемы просто нет, по крайней мере там в обсуждении его никто не предложил.

 

Шедуллер. tc - это утилитка, управляющая ядерным пакетным шедуллером. Ссллки на "там в обсуждении" - это просто так мило.:)

Ссылка на сообщение
Поделиться на других сайтах
26 минут назад, vop сказал:

 

Шедуллер. tc - это утилитка, управляющая ядерным пакетным шедуллером. Ссллки на "там в обсуждении" - это просто так мило.:)

Я не фанат линукса, что такое tc - не знаю. Мне сказали выше, что он аналог dummynet в линуксе, значит я неправильно понял.  Там в обсуждении - я сказал где. Хотите конкретно - пожалуйста, просто не хотелось чтобы опять политический срач тут поднялся по поводу куда надо и куда не надо ходить.

https://forum.nag.ru/index.php?/topic/153222-tc-centos-7-gruzyat-processor-pod-100/

Відредаговано Baneff
Ссылка на сообщение
Поделиться на других сайтах
1 hour ago, Baneff said:

Я не фанат линукса, что такое tc - не знаю. Мне сказали выше, что он аналог dummynet в линуксе, значит я неправильно понял.  Там в обсуждении - я сказал где. Хотите конкретно - пожалуйста, просто не хотелось чтобы опять политический срач тут поднялся по поводу куда надо и куда не надо ходить.

https://forum.nag.ru/index.php?/topic/153222-tc-centos-7-gruzyat-processor-pod-100/

 

Ну и что там непонятного?

 

Раз:

Quote

 


Я так понимаю, у вас для всех 1300 клиентов используется линейный фильтр? Переходите на схему с хэшированием.
 

 

 

Два:

Quote

 


Это означает лишь то что хеширование сделано неверно и не работает. Читайте статьи, благо их на эту тему сотни.

Или поставьте скрипт sc для генерации правил tc на лету.

Или собирайте ipt_ratelimit.
 

 

 

Три от человека, с ником "vop":

Quote


Если $seed_out и $cell_out одинаковые, то особого смысла в tc как-то и нет. Проще полисер использовать. Выше есть предложения. Если же все же нужен tc для выдачи свободной полосы, то действительно меняйте фильтр. Мне, например, нравится классификация трафика через ipset.
 

 

Если чел не может сделать корректный классификатор, или ему шейпер нафиг не нужен - пусть ставит полисер. Я разве не об этом там выше написал?

 

PS Советы про полисер - это не советы решения технической проблемы. Это, типа, мировоззренческий вопрос. :)

Відредаговано vop
Ссылка на сообщение
Поделиться на других сайтах
29 минут назад, vop сказал:

PS Советы про полисер - это не советы решения технической проблемы. Это, типа, мировоззренческий вопрос. :)

Ладно, понял. Хотел было возрадоваться чужой беде, а на деле только лишний раз показал собственную некомпетентность. Так что мир - дружба - жвачка.

Ссылка на сообщение
Поделиться на других сайтах
2 минуты назад, Чучундра сказал:

Что выдает speedtest с шейпером, а что с полисером сравнивали ?

Если вопрос ко мне, то я не сравнивал, лично я даже не знаю как конкретно на фре реализовать полисер, всегда использовал только шейпер. А что спидтест может показать? Это может быть важно? И то и другое ограничивает скорость, только разными методами. Так что думаю покажет одно и то-же.

Ссылка на сообщение
Поделиться на других сайтах
44 минуты назад, Чучундра сказал:

ng_car это полисер для фри

Вот наверное да, но я не пробовал и не буду, нас и на dummynet-е неплохо кормят. Что-то нетграф мне в своё время не лёг в руку, бывает такое. Конструктор-головоломка такая себе. Так что не буду плодить сущности ибо простота - залог здоровья :) .

Ссылка на сообщение
Поделиться на других сайтах
2 часа назад, Чучундра сказал:

Что выдает speedtest с шейпером, а что с полисером сравнивали ?

Нормально выдает. Разница в аплоаде. шейпер помирает после 3Гб трафика. Полисер - фигачит.

 

9 часов назад, Baneff сказал:

Терминация, нат, файервол, птичка при  наличии x520-DA2 на любой системе до 10 гиг прокачается юзерского трафика при современной средней длине пакета около 900 байт.

Это вы ТС расскажите, у него фря мрет. Кстати у меня там еще ipt_netflow коллектор. Что там во фре на эту тему?

 

4 часа назад, Baneff сказал:

Я не фанат линукса, что такое tc - не знаю

А я не фанат протухшей фри.

 

4 часа назад, Baneff сказал:

Пару месяцев назад на известном вражеском форуме обсуждалась тема "tc + centos 7 грузят процессор под 100%"

7-й центос это таки да. Там много приколов. Что по 6-му? Нет вопросов? А по дебиану? Тоже нет? Работает?

19 минут назад, Чучундра сказал:

Нетграф это сила,  у линусятников ничего подобного нет

А в чем же его сила в качестве БРАСа?

Ссылка на сообщение
Поделиться на других сайтах
22 минуты назад, Dimkers сказал:

А я не фанат протухшей фри.

Вот зачем вы так? Вас в детстве обижали? Характер испортился? Ведь ваш любимый Дебиан никто гавном не поливает, правда? Ну прямо как любимого котика ногой пнули. Некультурно, фи...

 

  • Like 1
  • Haha 1
Ссылка на сообщение
Поделиться на других сайтах
38 минут назад, Dimkers сказал:

А в чем же его сила в качестве БРАСа?

Вы не в курсе, видимо, что такое нетграф. В качестве браса он никакой силы не имеет. Ну ничего, я вот тоже не знаю что такое tc .Всё знать невозможно.

 

Ссылка на сообщение
Поделиться на других сайтах
On 2/19/2020 at 9:40 PM, Dimkers said:

Дайте и я писюном померяюсь. 2*X5672  @ 3.20GHz Старое говнецо HP Proliant DL360G6, а тащит. В ЧНН выдает тариф 200М без соплей. НАТ, Терминация с шейпом, птичка для маршрутов, блокировка запрщенных сайтов. Debian c kernel'ом 4,0,9

2020-02-19_21-37-10.thumb.png.292e6ef7aac2452c30e624d591129480.png

 

 

 

терминація на accel? ipoe ? q-in-q?

Ссылка на сообщение
Поделиться на других сайтах
30 минут назад, Baneff сказал:

 Вот зачем вы так? Вас в детстве обижали?

Он конечно человек-говно, но факты говорит верные.

Бсд протух, "эти наши линуксы" могут все то же, но больше, быстрее и проще. Нетграф это круто для разработчика, а ты конкретно на нем что-то делал? Нет? И другие нет. Но круто, не спорю. Но не нужно.

Во времена бсд 3 мой хостинг сервер с онлайн-игрой моей же разработки с MUD работал на freeBsd, джейлы это было очень круто. Линукс был на голову слабее во всем.

Дальше вплоть до бсд 7 линукс был слабее в сетевой части, бсд блистал на хостингах и роутерах. Те же яндекс-драйвера это была целая эпоха.

Но время прошло. С тех пор бсд развивался и менялся минимально, Линукс же растет семимильными шагами. И лет 5 как по всем параметрам Линукс тупо лучше. Как хост виртуалок с KVM, как роутер, как NAT-box, как терминация(не в последнюю очередь благодаря accel-ppp). Использовать бсд сейчас можно только "по привычке", никакого логического объяснения нет.

Ссылка на сообщение
Поделиться на других сайтах
6 минут назад, KaYot сказал:

Использовать бсд сейчас можно только "по привычке", никакого логического объяснения нет.

Вот и позвольте уж нам, бздунам старым пользоваться тем, к чему мы привыкли. Относитесь к фре, как к музейному экспонату, если вам так легче жить. Но с уважением. Система работает, свои функции выполняет и есть много мест, где всё работает годами и ничего нового не требуется, а требуется железобетонная стабильность, ничего более. Так что не надо нас перевоспитывать, оставьте нас, стариков, в покое, расслабьтесь и наслаждайтесь жизнью. Она короткая, если вы не в курсе.

  • Like 3
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від Nejron
      Всем здрям! ))
      Изложу суть :
      Имеется некий сервис (в данном случае IPTV личного производства)
      Хотелось бы контролировать с билинга доступ к нему.
      В профиле пользователя создал дополнительное поле с типом "TRIGGER".
       
      А вот дальше хочу спросить как правильно заполнить свою таблицу для ipfw?
      Добавлять/удалять от туда ip клиентов и возможно еще что то посоветуете.
      Возможно кто то что то подобное делал,
      не оставте начинающего админа без совета ?
       
    • Від Oleg2018
      Посоветуйте ,такая ситуация при сканировании хоста с биллингом во внешней сети открытые порты 5555 (stargazer), и 80 (apache). Если их нужно наверное спрятать от внешней сети, то как правильно написать правило ipfw ,касательно этих портов.Все остальное что вылезло после установки я закрыл, а здесь не получается никак. Спаибо заранее. 
    • Від Baneff
      Всем привет.
      Давно использую freebsd + ipfw + dummynet + kernel nat + ещё куча всякого разного и всё на одном серваке. Менять платформу не хочу - старый я уже для этого. Так вот. Нагрузка постепенно растёт, пора как-бы железо менять в очередной раз, но есть проблема. Всё в этой схеме прекрасно параллелится на мультиядерной системе. Всё, кроме старичка DUMMYNET. В очередной раз смотрю на процесс kernel{dummynet} и в очередной раз вижу конкретное узкое место во всй системе. Обойти невозможно, работает только в один поток и когда загрузка превышает 80-90% начинаются естественные проблемы. Все остальное работает с большим запасом по нагрузке. Вот и вопрос: как-то эту проблему удаётся решать? Чем шейпить юзеров, если не дамминетом? Или может появилась возможность как-то его параллелить? Или, возможно, какие-то новые методы позволяют как-то снизить нагрузку на дамминет? В документации появились некие новые варианты настроек CoDel, PIE, FQ-CoDel и FQ-PIE в дополнение к старым, может они помогут? Кто-то пробовал?
      Спасибо.
    • Від rusol
      Здравствуйте, голова уже болит, мысли закончились, может кто-то подскажет чего...

      Ситуация такая:

      Клиент жалуется, что c их ftp, который находиться в России, плохая скорость (прыгает от 10 Мбит/с до 30 Мбит/с, по тарифу должна быть 100 Мбит/с), проверили на ftp другого хостинга - все нормально, 100 Мбит.

      Я бы не писал сюда, но есть одно большое НО.. когда я захожу на главный маршрутизатор (FreeBSD + Nodeny 50.32 + IPFW + PF), то с главного сервака скорость отличная, а за серваком (в сети) скорость падает, при этом на другие ftp скорость хорошая с сети...

      То-есть без связки Nodeny + IPFW + PF - скорость отличная (на главном серваке).

      Подставлял реальный IP сервака на локальную машину, думал может ftp по IP что-то ограничивает, эффекта не дало...

      Может кто подскажет куда поглядеть, у меня уже мысли заканчиваются...
    • Від LENS
      Друзья, помогите пожалуйста разобраться с проблемой скорости
       
      Nodeny 50.32
      Ядро и BRAS на разных серверах.
      BRAS сервер HP Proliant G8 360, 2CPU 2,6 Ghz, 8Gb RAM - сетевая Intel 82576
      Вход и выход собраны в lagg - итого два гига вход и выход
      Абоненты терминируются через PPPoE на mpd. Nat на pf, детализация на ipcad
       
      Проблема: при включенном ipfw и именно правилах pipe со скоростью какая то дичь, исхода нет, вход 10-13 мегабит
      Как только выключаешь ipfw - все летает, больше гигабита пролетает без проблем. При этом очевидных проблем с перегрузом ядер нет - все равномерно.
      FreeBSD bras7 11.2-STABLE FreeBSD 11.2-STABLE #0: Sun Dec 23 20:44:08 EET 2018     root@bras7:/usr/obj/usr/src/sys/BRAS7  amd64
       
      В ядро Generic  добавил опции:
      # NAS KERNEL OPTIONS options IPFIREWALL options IPFIREWALL_NAT options LIBALIAS options IPDIVERT options DUMMYNET options IPFIREWALL_DEFAULT_TO_ACCEPT options PANIC_REBOOT_WAIT_TIME=3 options NETGRAPH options NETGRAPH_BPF options NETGRAPH_IPFW options NETGRAPH_ETHER options NETGRAPH_IFACE options NETGRAPH_PPP options NETGRAPH_PPTPGRE options NETGRAPH_PPPOE options NETGRAPH_SOCKET options NETGRAPH_KSOCKET options NETGRAPH_ONE2MANY options NETGRAPH_SPLIT options NETGRAPH_TEE options NETGRAPH_TCPMSS options NETGRAPH_VJC options NETGRAPH_RFC1490 options NETGRAPH_TTY options NETGRAPH_UI
      Sysctl.conf
      net.inet6.ip6.auto_linklocal=0 net.inet6.ip6.auto_linklocal=0 # net.isr.dispatch=deferred # dev.igb.0.rx_processing_limit=4096 dev.igb.1.rx_processing_limit=4096 dev.igb.2.rx_processing_limit=4096 dev.igb.3.rx_processing_limit=4096 dev.igb.4.rx_processing_limit=4096 dev.igb.5.rx_processing_limit=4096 dev.igb.6.rx_processing_limit=4096 dev.igb.7.rx_processing_limit=4096 # net.link.lagg.default_use_flowid=1 # net.inet.ip.dummynet.pipe_slot_limit=1000 net.inet.ip.dummynet.io_fast=1 net.inet.ip.intr_queue_maxlen=10240 # kern.ipc.nmbclusters=262144 kern.ipc.maxsockbuf=16777216 kern.ipc.somaxconn=32768 kern.randompid=348 net.inet.icmp.icmplim=50 net.inet.ip.process_options=0 net.inet.ip.redirect=0 net.inet.icmp.drop_redirect=1 net.inet.tcp.blackhole=2 net.inet.tcp.delayed_ack=0 net.inet.tcp.drop_synfin=1 net.inet.tcp.msl=7500 net.inet.tcp.nolocaltimewait=1 net.inet.tcp.path_mtu_discovery=0 net.inet.tcp.recvbuf_max=16777216 net.inet.tcp.recvspace=64395 net.inet.tcp.sendbuf_max=16777216 net.inet.tcp.sendspace=64395 net.inet.udp.blackhole=1 net.inet.tcp.tso=0 net.inet.tcp.syncookies=1 net.inet.ip.ttl=226 net.inet.tcp.drop_synfin=1 net.inet.ip.accept_sourceroute=0 net.inet.icmp.bmcastecho=0 net.route.netisr_maxqlen=4096 net.graph.maxdgram=8388608 net.graph.recvspace=8388608  
      loader.conf
      kern.geom.label.gptid.enable=0 kern.geom.label.disk_ident.enable=0 # hw.igb.rxd=4096 hw.igb.txd=4096 hw.igb.max_interrupt_rate=32000 # net.route.netisr_maxqlen=4096 net.isr.defaultqlimit=4096 net.link.ifqmaxlen=10240 rc.firewall
      ${f} -f flush ${f} add 50 allow tcp from any to me 22 via lagg1 ${f} add 51 allow tcp from me 22 to any via lagg1 #${f} add 65 allow tcp from any to me 1723 #${f} add 65 allow tcp from me 1723 to any #${f} add 65 allow gre from any to me #${f} add 65 allow gre from me to any # # # PRIVATBANK + LIQPAY FREE ACCESS ${f} add 66 allow tcp from not "table(0)" to "table(17)" dst-port 80,443 # # Blocked URL ${f} add 67 fwd 127.0.0.1,8082 tcp from "table(0)" to "table(18)" dst-port 80 in ${f} add 68 reject tcp from "table(0)" to "table(18)" ${f} add 69 deny ip from "table(0)" to "table(18)" # # DENY TRACEROUTE & PING ${f} add 70 allow ip from any to any via lo0 ${f} add 71 allow icmp from 10.10.1.1 to any ${f} add 72 allow icmp from any to 10.10.1.1 ${f} add 74 deny icmp from me to any ${f} add 75 deny icmp from 10.10.0.0/24 to 10.190.0.0/16 icmptype 0,11 ${f} add 76 deny icmp from any to me ${f} add 110 allow ip from any to any via lo0 ${f} add 120 skipto 1000 ip from me to any ${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 ${f} add 160 skipto 2000 ip from any to me # ${f} add 170 allow tcp from any to ${main_server} 80,443 ${f} add 175 allow tcp from ${main_server} 80,443 to any ${f} add 180 allow tcp from any to ${main_server} 80,443 ${f} add 185 allow tcp from ${main_server} 80,443 to any ${f} add 187 allow tcp from any to ${site_server} 80 ${f} add 188 allow tcp from ${site_server} 80 to any ${f} add 190 allow udp from any to ${dns} 53 ${f} add 195 allow udp from ${dns} 53 to any ${f} add 200 skipto 500 ip from any to any via lagg1 # message module======== ${f} add 280 fwd 127.0.0.1,8081 tcp from "table(35)" to not me dst-port 80 in ${f} add 290 fwd 127.0.0.1,8080 tcp from not "table(0)" to not me dst-port 80 in #======================= ${f} add 300 skipto 4500 ip from any to any in ${f} add 400 skipto 450 ip from any to any recv lagg1 ${f} add 420 tee 1 ip from any to any ${f} add 450 tee 2 ip from any to "table(0)" ${f} add 490 allow ip from any to any ${f} add 500 skipto 32500 ip from any to any in ${f} add 510 tee 1 ip from any to any ${f} add 540 allow ip from any to any ${f} add 1000 allow udp from any 53,7723 to any ${f} add 1010 allow tcp from any to any setup keep-state ${f} add 1020 allow udp from any to any keep-state ${f} add 1100 allow ip from any to any ${f} add 2000 check-state ${f} add 2010 allow icmp from any to any ${f} add 2020 allow tcp from any to any 80,443 ${f} add 2030 allow ip from ${bras_server} to any ${f} add 2050 deny ip from any to any via lagg1 ${f} add 2060 allow udp from any to any 53,7723 ${f} add 2100 deny ip from any to any ${f} add 32490 deny ip from any to any  
      nofire.pl добавляет  еще правила:
      05000 skipto 33010 ip from table(1) to table(37) 05001 skipto 33010 ip from table(37) to table(1) 05002 deny ip from not table(0) to any 05003 skipto 5010 ip from table(127) to table(126) 05004 skipto 5030 ip from any to not table(2) 05005 deny ip from any to not table(1) 05006 pipe tablearg ip from table(21) to any 05007 deny ip from any to any 05010 pipe tablearg ip from table(127) to any 05030 deny tcp from table(15) to any 25 05400 pipe tablearg ip from table(11) to any 32000 deny ip from any to any 32490 deny ip from any to any 33000 pipe tablearg ip from table(126) to table(127) 33001 skipto 33010 ip from not table(2) to any 33002 pipe tablearg ip from any to table(20) 33003 deny ip from any to any 33400 pipe tablearg ip from any to table(10)  
      Вот эти два правила, удалив которые все работает без проблем (либо сделать ipfw -f):
      33002 pipe tablearg ip from any to table(20)
      33400 pipe tablearg ip from any to table(10)
       
      Подскажите, что может быть источником данной проблемы - при том, что на старой версии FreeBSD 7.4 все работает нормально.
      С меня бутылка хорошего горячительного средства или скажите сколько если устали пить

×
×
  • Створити нове...