Jump to content

NAT на freebsd

Новичок я тут

By Новичок я тут
in Software

 Share

Recommended Posts

ISK Вампир

ISK

Posted
Posted
3 часа назад, sanyadnepr сказал:

на x520-DA2 на NAT-е ровно такие же цифры загрузки проца 30% в пике.

Естественно. Если сетевая сама справляется с нагрузкой, то она лишний раз CPU прерываниями грузить не будет...

  • Replies 153
  • Created
  • Last Reply

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

KaYot
KaYot

Лучший НАТ на БСД это любой дистрибутив linux

Dimkers
Dimkers

Ага, он поставит сервак типо R210 или G6/7/8 за 400+.

Sоrk
Sоrk

Настройки ядра: /usr/src/sys/amd64/conf/GENERIC - ничего особенного #options      INET6  #disable IPv6 options         IPFIREWALL options         IPFIREWALL_NAT options         IPFIREWALL_DEFAULT

Posted Images

Baneff Вампиреныш

Baneff

Posted
Posted
13 часов назад, Dimkers сказал:

Дайте и я писюном померяюсь. 2*X5672  @ 3.20GHz Старое говнецо HP Proliant DL360G6, а тащит. В ЧНН выдает тариф 200М без соплей. НАТ, Терминация с шейпом, птичка для маршрутов, блокировка запрщенных сайтов. Debian c kernel'ом 4,0,9

А шейпер для IPoE под дебианом как реализован? Имхо шейпинг - узкое место в софтовых брасах. Терминация, нат, файервол, птичка при  наличии x520-DA2 на любой системе до 10 гиг прокачается юзерского трафика при современной средней длине пакета около 900 байт. Поскольку всё отлично паралелится, а процессоры многоядерные и память сейчас копейки стоят на вторичном рынке. У FreeBSD вижу единственное узкое место - лучший шейпер этой системы dummynet не параллелится и это заставляет искать не столько многоядерные системы, сколько системы с максимальным быстродействием на одно ядро. Конечно, при правильной настройке шейпера такой тазик работает, но это несколько напрягает, да. Узкое место - оно и есть узкое место. Интересно, что dummynet зачем-то портировали на линукс, я по крайней мере видел это в новостях. Поскольку я ни разу не специалист по линуксу, то мне интересно, как там реализован шейпинг, обеспечивает ли он хорошее качество нарезки при минимальной нагрузке на процессор и паралелится ли он там?. Я не оспариваю того факта, что линукс, возможно, резвее чем FreeBSD на том-же железе, вполне может быть. Даже если так, то это всё равно не заставит меня переходить на другую ось ибо коней на переправе не меняют и таки главные постулаты админа по прежнему  "работает - не трогай" и "лучшее - враг хорошего". Увы, такова жизнь.

  • Like 1
Sоrk Точу Зубы

Sоrk

Posted
Posted
1 час назад, Baneff сказал:

А шейпер для IPoE под дебианом как реализован? 

 

ipt_ratelimit - практически не влияет на CPU, на скорости 8 гбит/с включение-выключение шейпера показывает около 5% разницы

  • Like 2
Baneff Вампиреныш

Baneff

Posted
Posted
19 минут назад, Sоrk сказал:

 

ipt_ratelimit - практически не влияет на CPU, на скорости 8 гбит/с включение-выключение шейпера показывает около 5% разницы

Ха, та кокой же это шейпер? Пакеты дропать много ума не надо, так и на фре можно без всяких там нагрузок. Шейпер под Дебиан есть? Ну хоть что-то близкое по функционалу к dummynet ?

KaYot Бог

KaYot

Posted
Posted
30 минут назад, Baneff сказал:

Ха, та кокой же это шейпер? Пакеты дропать много ума не надо, так и на фре можно без всяких там нагрузок. Шейпер под Дебиан есть? Ну хоть что-то близкое по функционалу к dummynet ?

Под линукс(от дистрибутива это не зависит в принципе) есть tc. Который позволяет сделать любое извращение, хоть полисер, хоть шейпер.

Ну и вопрос нужности шейпера для современных тарифов измеряемых десятками мегабит открыт - на кой он нужен? Я потихоньку перехожу на полисеры, никакой разницы кроме меньшей нагрузки на железо.

Baneff Вампиреныш

Baneff

Posted
Posted
1 минуту назад, KaYot сказал:

Под линукс(от дистрибутива это не зависит в принципе) есть tc. Который позволяет сделать любое извращение, хоть полисер, хоть шейпер.

Ну и вопрос нужности шейпера для современных тарифов измеряемых десятками мегабит открыт - на кой он нужен? Я потихоньку перехожу на полисеры, никакой разницы кроме меньшей нагрузки на железо.

Возможно. Я человек старой закалки и меня учили, что должен быть шейпер и тогда юзеры довольны и не достают поддержку, ничего у них не дергается и не обрывается. Это как-то связано со скоростью по тарифному плану? Типа если скорость высокая, то шейпер не нужен? Лично я сомневаюсь, но могу ошибаться. Однако тогда у меня появляется вопрос о корректности многочисленных сравнений фри и линукса. Это мы значит сравниваем систему с полноценным шейпингом (действительно даёт нагрузку на систему) с системой с тупым полисингом (никакой нагрузки, любой копеечный свич умеет). Уважаемые линоксоводы и линуксолюбы, это как, справедливо? Давайте включайте тогда ваш tc с включеннім шейпингом и тогда будем сравнивать. Или давайте мы на фре включим полисинг вместо шейпинга и тогда сравним. Думаю результаты вряд ли тогда будут сильно отличаться ибо в обеих системах сетевой стек давно вылизан и там уже некуда что-то оптимизировать, ну по мелочам разве.

Baneff Вампиреныш

Baneff

Posted
Posted

Смеялся. Пару месяцев назад на известном вражеском форуме обсуждалась тема "tc + centos 7 грузят процессор под 100%". Так вот, это вам ничего не напоминает? И главная рекомендация - перейдите на ipt_ratelimit  и оно попустит.  )))

vop Вампир

vop

Posted
Posted
2 hours ago, Baneff said:

И, кстати, tc ваш параллелится?

 

Я не знаю, как можно сделать так, что бы пакетный фильтр в ядре не параллелился. :)

6 minutes ago, Baneff said:

Смеялся. Пару месяцев назад на известном вражеском форуме обсуждалась тема "tc + centos 7 грузят процессор под 100%". Так вот, это вам ничего не напоминает? И главная рекомендация - перейдите на ipt_ratelimit  и оно попустит.  )))

 

 

Видимо, проще посоветовать человеку перейти на ratelimit, нежели объяснить, как не надо классифицировать трафик. :)

Baneff Вампиреныш

Baneff

Posted
Posted (edited)
9 минут назад, vop сказал:

Я не знаю, как можно сделать так, что бы пакетный фильтр в ядре не параллелился. :)

Видимо, проще посоветовать человеку перейти на ratelimit, нежели объяснить, как не надо классифицировать трафик. :)

Где тут речь была о пакетном фильтре? Он и на фре паралелится. Речь была о шейпере. Шейпер в tc многопоточный? Не делайте вид, что не понимаете разницы. И да, проще посоветовать человеку перейти на ratelimit и это не потому, что человек этот тупой, а потому что другого решения проблемы просто нет, по крайней мере там в обсуждении его никто не предложил.

Edited by Baneff
vop Вампир

vop

Posted
Posted
3 minutes ago, Baneff said:

Где тут речь была о пакетном фильтре? Он и на фре паралелится. Речь была о шейпере. Шейпер в tc многопоточный? Не делайте вид, что не понимаете разницы. И да, проще посоветовать человеку перейти на ratelimit и это не потому, что человек этот тупой, а потому что другого решения проблемы просто нет, по крайней мере там в обсуждении его никто не предложил.

 

Шедуллер. tc - это утилитка, управляющая ядерным пакетным шедуллером. Ссллки на "там в обсуждении" - это просто так мило.:)

Baneff Вампиреныш

Baneff

Posted
Posted (edited)
26 минут назад, vop сказал:

 

Шедуллер. tc - это утилитка, управляющая ядерным пакетным шедуллером. Ссллки на "там в обсуждении" - это просто так мило.:)

Я не фанат линукса, что такое tc - не знаю. Мне сказали выше, что он аналог dummynet в линуксе, значит я неправильно понял.  Там в обсуждении - я сказал где. Хотите конкретно - пожалуйста, просто не хотелось чтобы опять политический срач тут поднялся по поводу куда надо и куда не надо ходить.

https://forum.nag.ru/index.php?/topic/153222-tc-centos-7-gruzyat-processor-pod-100/

Edited by Baneff
vop Вампир

vop

Posted
Posted (edited)
1 hour ago, Baneff said:

Я не фанат линукса, что такое tc - не знаю. Мне сказали выше, что он аналог dummynet в линуксе, значит я неправильно понял.  Там в обсуждении - я сказал где. Хотите конкретно - пожалуйста, просто не хотелось чтобы опять политический срач тут поднялся по поводу куда надо и куда не надо ходить.

https://forum.nag.ru/index.php?/topic/153222-tc-centos-7-gruzyat-processor-pod-100/

 

Ну и что там непонятного?

 

Раз:

Quote

 


Я так понимаю, у вас для всех 1300 клиентов используется линейный фильтр? Переходите на схему с хэшированием.
 

 

 

Два:

Quote

 


Это означает лишь то что хеширование сделано неверно и не работает. Читайте статьи, благо их на эту тему сотни.

Или поставьте скрипт sc для генерации правил tc на лету.

Или собирайте ipt_ratelimit.
 

 

 

Три от человека, с ником "vop":

Quote


Если $seed_out и $cell_out одинаковые, то особого смысла в tc как-то и нет. Проще полисер использовать. Выше есть предложения. Если же все же нужен tc для выдачи свободной полосы, то действительно меняйте фильтр. Мне, например, нравится классификация трафика через ipset.
 

 

Если чел не может сделать корректный классификатор, или ему шейпер нафиг не нужен - пусть ставит полисер. Я разве не об этом там выше написал?

 

PS Советы про полисер - это не советы решения технической проблемы. Это, типа, мировоззренческий вопрос. :)

Edited by vop
Baneff Вампиреныш

Baneff

Posted
Posted
29 минут назад, vop сказал:

PS Советы про полисер - это не советы решения технической проблемы. Это, типа, мировоззренческий вопрос. :)

Ладно, понял. Хотел было возрадоваться чужой беде, а на деле только лишний раз показал собственную некомпетентность. Так что мир - дружба - жвачка.

Baneff Вампиреныш

Baneff

Posted
Posted
2 минуты назад, Чучундра сказал:

Что выдает speedtest с шейпером, а что с полисером сравнивали ?

Если вопрос ко мне, то я не сравнивал, лично я даже не знаю как конкретно на фре реализовать полисер, всегда использовал только шейпер. А что спидтест может показать? Это может быть важно? И то и другое ограничивает скорость, только разными методами. Так что думаю покажет одно и то-же.

Baneff Вампиреныш

Baneff

Posted
Posted
44 минуты назад, Чучундра сказал:

ng_car это полисер для фри

Вот наверное да, но я не пробовал и не буду, нас и на dummynet-е неплохо кормят. Что-то нетграф мне в своё время не лёг в руку, бывает такое. Конструктор-головоломка такая себе. Так что не буду плодить сущности ибо простота - залог здоровья :) .

Dimkers Дьявол

Dimkers

Posted
Posted
2 часа назад, Чучундра сказал:

Что выдает speedtest с шейпером, а что с полисером сравнивали ?

Нормально выдает. Разница в аплоаде. шейпер помирает после 3Гб трафика. Полисер - фигачит.

 

9 часов назад, Baneff сказал:

Терминация, нат, файервол, птичка при  наличии x520-DA2 на любой системе до 10 гиг прокачается юзерского трафика при современной средней длине пакета около 900 байт.

Это вы ТС расскажите, у него фря мрет. Кстати у меня там еще ipt_netflow коллектор. Что там во фре на эту тему?

 

4 часа назад, Baneff сказал:

Я не фанат линукса, что такое tc - не знаю

А я не фанат протухшей фри.

 

4 часа назад, Baneff сказал:

Пару месяцев назад на известном вражеском форуме обсуждалась тема "tc + centos 7 грузят процессор под 100%"

7-й центос это таки да. Там много приколов. Что по 6-му? Нет вопросов? А по дебиану? Тоже нет? Работает?

19 минут назад, Чучундра сказал:

Нетграф это сила,  у линусятников ничего подобного нет

А в чем же его сила в качестве БРАСа?

Baneff Вампиреныш

Baneff

Posted
Posted
22 минуты назад, Dimkers сказал:

А я не фанат протухшей фри.

Вот зачем вы так? Вас в детстве обижали? Характер испортился? Ведь ваш любимый Дебиан никто гавном не поливает, правда? Ну прямо как любимого котика ногой пнули. Некультурно, фи...

 

  • Like 1
  • Haha 1
Baneff Вампиреныш

Baneff

Posted
Posted
38 минут назад, Dimkers сказал:

А в чем же его сила в качестве БРАСа?

Вы не в курсе, видимо, что такое нетграф. В качестве браса он никакой силы не имеет. Ну ничего, я вот тоже не знаю что такое tc .Всё знать невозможно.

 

Lynx100 Вампиреныш

Lynx100

Posted
Posted
On 2/19/2020 at 9:40 PM, Dimkers said:

Дайте и я писюном померяюсь. 2*X5672  @ 3.20GHz Старое говнецо HP Proliant DL360G6, а тащит. В ЧНН выдает тариф 200М без соплей. НАТ, Терминация с шейпом, птичка для маршрутов, блокировка запрщенных сайтов. Debian c kernel'ом 4,0,9

2020-02-19_21-37-10.thumb.png.292e6ef7aac2452c30e624d591129480.png

 

 

 

терминація на accel? ipoe ? q-in-q?

KaYot Бог

KaYot

Posted
Posted
30 минут назад, Baneff сказал:

 Вот зачем вы так? Вас в детстве обижали?

Он конечно человек-говно, но факты говорит верные.

Бсд протух, "эти наши линуксы" могут все то же, но больше, быстрее и проще. Нетграф это круто для разработчика, а ты конкретно на нем что-то делал? Нет? И другие нет. Но круто, не спорю. Но не нужно.

Во времена бсд 3 мой хостинг сервер с онлайн-игрой моей же разработки с MUD работал на freeBsd, джейлы это было очень круто. Линукс был на голову слабее во всем.

Дальше вплоть до бсд 7 линукс был слабее в сетевой части, бсд блистал на хостингах и роутерах. Те же яндекс-драйвера это была целая эпоха.

Но время прошло. С тех пор бсд развивался и менялся минимально, Линукс же растет семимильными шагами. И лет 5 как по всем параметрам Линукс тупо лучше. Как хост виртуалок с KVM, как роутер, как NAT-box, как терминация(не в последнюю очередь благодаря accel-ppp). Использовать бсд сейчас можно только "по привычке", никакого логического объяснения нет.

Baneff Вампиреныш

Baneff

Posted
Posted
6 минут назад, KaYot сказал:

Использовать бсд сейчас можно только "по привычке", никакого логического объяснения нет.

Вот и позвольте уж нам, бздунам старым пользоваться тем, к чему мы привыкли. Относитесь к фре, как к музейному экспонату, если вам так легче жить. Но с уважением. Система работает, свои функции выполняет и есть много мест, где всё работает годами и ничего нового не требуется, а требуется железобетонная стабильность, ничего более. Так что не надо нас перевоспитывать, оставьте нас, стариков, в покое, расслабьтесь и наслаждайтесь жизнью. Она короткая, если вы не в курсе.

  • Like 3

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Go to topic listing
×
×
  • Create New...