Jump to content
Local
Новичок я тут

NAT на freebsd

Recommended Posts

5 часов назад, Kto To сказал:

У меня на уйме своих и тех что я веду акцесниках вырезан нах@р IPV6 в ядре - несколько лет полет нормальный.

И какой лимит скорости на всем сервере? :) 1.4-1.6 Гбит в пике и больше не поднимается? :)

Share this post


Link to post
Share on other sites
В 08.02.2019 в 18:48, Pautiina сказал:

cc_htcp_load="YES"
cc_chd_load="YES"

net.inet.tcp.cc.algorithm=htcp
net.inet.tcp.cc.htcp.adaptive_backoff=1
net.inet.tcp.cc.htcp.rtt_scaling=1

выше указанные параметры нужны для апаче.


Эх. Это настройки для TCP, в основном, для контроля перегруза и никак здесь Апач не относится, он на другом уровне работает.
Я, конечно, понимаю, что надо все сделать, чтоб хомяк не кушал всю полосу пропускания, но не такими же методами ему портить TCP/IP стек на транзите.

Edited by supportod

Share this post


Link to post
Share on other sites
В 12.02.2019 в 01:50, supportod сказал:

И какой лимит скорости на всем сервере? :) 1.4-1.6 Гбит в пике и больше не поднимается? :)

1.8 гбит - ЛА не выше двух, нагрузка на ядра сетевух 30%. Если онлайна на серваке > 1500 PPPOE - надо покупать второй сервак а не рассказывать басни про IPV6 вкомпиленный в ядро :D

Share this post


Link to post
Share on other sites
В 08.02.2019 в 13:45, Sоrk сказал:

Xeon E5-1650 v4

уточнение, данный конфиг и графики с сервера на E5-1620 v2 (4 ядра), для Xeon E5-1650 v4 (6 ядер) производительность выше ровно пропорционально ядрам.

 

В 08.02.2019 в 18:48, Pautiina сказал:

Патчить libalias никогда не пробовал, нужно будет попробовать

сложно сказать благодаря этому или нет, но 1 млн NAT сессий на сервере живёт

image.png.8e168457ffaf621c116621d30e67076a.png

 

7 часов назад, supportod сказал:

1.4-1.6 Гбит в пике и больше не поднимается?

так вот же у меня отключен ipv6 и 4-5 гбит без проблем.

Или имеется в виду для одной TCP-сессии?

но ради эксперимента как-то попробую включить назад.

 

7 часов назад, supportod сказал:

Я, конечно, понимаю, что надо все сделать, чтоб хомяк не кушал всю полосу пропускания, но не такими же методами ему портить TCP/IP стек на транзите.

Идея ровно в противоположном - помочь пользователям на нестабильном домашнем WiFi развивать большую скорость в один TCP-поток.

Ради этого даже syncookies отключены.

Но действительно, на транзитный трафик это не влияет, параметры TCP-окна это это всё же индивидуальная договорённость клиента и сервера.

Share this post


Link to post
Share on other sites
8 часов назад, supportod сказал:

Эх. Это настройки для TCP, в основном, для контроля перегруза и никак здесь Апач не относится, он на другом уровне работает.
Я, конечно, понимаю, что надо все сделать, чтоб хомяк не кушал всю полосу пропускания, но не такими же методами ему портить TCP/IP стек на транзите.

И эти люди рекламируют свои услуги удаленной настройки и оптимизации :)

Оптимизация ненужных параметров по Сысоеву и лечение всех проблем включением неиспользуемого IPv6?

  • Like 1

Share this post


Link to post
Share on other sites
13 часов назад, D780 сказал:

Если не используется ipnat то ipV6 вырезаю тоже, для ipnat нужен этот параметр в ядре, по крайней мере так было в 10.* и 11, как в 12-й ветке не знаю, не тестировал.

А так на всех серверах где ipV6 не используется он вырезан, глюков не замечено.

 

Подтверждаю. Всегда вырезал и продолжаю вырезать ipV6, как в ядре, так и в мире и в портах. SCTP также вырезаю, без надобности. Не говоря уже об иксах. Также в ядре вырезаю все ненужные драйвера и отладочные функции. Многие годы никаких проблем это вырезание не вызывало, полёт нормальный. ipnat никогда не использовал, так что по этому поводу ничего сказать не могу.

Edited by Baneff

Share this post


Link to post
Share on other sites
В 08.02.2019 в 09:36, supportod сказал:

На FreeBSD 11.2 и выше только pf NAT.

А вот почему так категорично? Можете обосновать?

Share this post


Link to post
Share on other sites
9 часов назад, supportod сказал:

И какой лимит скорости на всем сервере? :) 1.4-1.6 Гбит в пике и больше не поднимается? :)

 

Обоснуйте, плиз. Каким образом вырезанный ipV6 может повлиять на лимит скорости? Где такая проблема описана?

Share this post


Link to post
Share on other sites

Вот почитал столько умных советов по вырезанию ИПв6 и "лишних" драйверов и смотрю на свой сервак с натом. На одном i7, с 11,2 фрей, из которой ничего не вырезано, и kernel ipfw nat и удивляюсь - как так это он 4 гига натит без особого напряга? :)

Share this post


Link to post
Share on other sites
10 минут назад, VitalyMoiseev сказал:

Вот почитал столько умных советов по вырезанию ИПв6 и "лишних" драйверов и смотрю на свой сервак с натом. На одном i7, с 11,2 фрей, из которой ничего не вырезано, и kernel ipfw nat и удивляюсь - как так это он 4 гига натит без особого напряга? :)

Сам себя не похвалишь... Возьмите с полки пирожок! Никто не говорил, что без "вырезания" невозможно натить 4 гига. Говорили о том, что "вырезание" по крайней мере не ухудшает ситуацию. Только supportod утверждает обратное. Ну подождём, может обоснует.

Edited by Baneff

Share this post


Link to post
Share on other sites
42 минуты назад, Baneff сказал:

Говорили о том, что "вырезание" по крайней мере не ухудшает ситуацию

а в чем сакральный смысл такого "вырезания", если оно "не ухудшает", а раз отлично работает и без вырезания - то и не улучшает ничего? На дворе 2019 год - надо думать не о вырезании ИПв6, а о его внедрении :)

Share this post


Link to post
Share on other sites
1 минуту назад, VitalyMoiseev сказал:

а в чем сакральный смысл такого "вырезания", если оно "не ухудшает", а раз отлично работает и без вырезания - то и не улучшает ничего? На дворе 2019 год - надо думать не о вырезании ИПв6, а о его внедрении :)

Ну "вырезание" - оно исторически так сложилось. Вырезали когда не хватало памяти. Сейчас уже да, наверное нет такой необходимости. Хотя вот я столкнулся опять с этим на виртуальном хостинге. Там за память деньги надо платить, а маленькое ядро влезает в минимальный тарифный план. Где-то так :).

Насчёт ipV6 скажите-ка мне, возможно сейчас уже или в обозримом будущем обойтись вообще без ipV4, то есть полностью перейти на ipV6 ? Если нет, то не вижу я ну никакого смысла держать два стека, первый из которых давно отлажен и вполне самодостаточен, а второй сырой и вообще непонятно для чего. Это чтобы жизнь мёдом не казалась? Так что в 2019 году я думаю, что можно только думать, думать и ещё раз думать. Ну помечтать не вредно.

Share this post


Link to post
Share on other sites
15 часов назад, maxx сказал:

c 4й

В смысле выпиливать в6 начали с 4й. полет нормальный.

тоже вырезаю нафиг, все работает нормально

Share this post


Link to post
Share on other sites
Только что, Baneff сказал:

Ну "вырезание" - оно исторически так сложилось. Вырезали когда не хватало памяти. Сейчас уже да, наверное нет такой необходимости. Хотя вот я столкнулся опять с этим на виртуальном хостинге. Там за память деньги надо платить, а маленькое ядро влезает в минимальный тарифный план. Где-то так :).

ну да, были времена - резали все, что можно, борясь за каждый КБ :)

Но для сервера NAT явно не будет характерна проблема впихивания ядра в минимум памяти.

2 минуты назад, Baneff сказал:

Насчёт ipV6 скажите-ка мне, возможно сейчас уже или в обозримом будущем обойтись вообще без ipV4, то есть полностью перейти на ipV6 ?

пока только в виде эксперимента, чисто поиграться :)

Share this post


Link to post
Share on other sites
11 часов назад, supportod сказал:


Эх. Это настройки для TCP, в основном, для контроля перегруза и никак здесь Апач не относится, он на другом уровне работает.
Я, конечно, понимаю, что надо все сделать, чтоб хомяк не кушал всю полосу пропускания, но не такими же методами ему портить TCP/IP стек на транзите.

а какими, подскажите ?

Share this post


Link to post
Share on other sites
2 минуты назад, VitalyMoiseev сказал:

ну да, были времена - резали все, что можно, борясь за каждый КБ :)

Но для сервера NAT явно не будет характерна проблема впихивания ядра в минимум памяти

Согласен, там где НАТ память экономить не стоит, она сейчас дешёвая.

 

7 минут назад, VitalyMoiseev сказал:

пока только в виде эксперимента, чисто поиграться :)

Это, как бы сказать. Играться с оборудованим, которое стоит на боевом дежурстве? Типа на живых юзерах эксперименты ставить? Не, я не мозахист, я ночью спать люблю.

Share this post


Link to post
Share on other sites
40 минут назад, Baneff сказал:

Это, как бы сказать. Играться с оборудованим, которое стоит на боевом дежурстве? Типа на живых юзерах эксперименты ставить? Не, я не мозахист, я ночью спать люблю.

кто говорил про рабочее оборудование?  Для поиграться с IPv6 only хороша виртуалка. Но пока да - в реальную работу IPv6 only рано

Share this post


Link to post
Share on other sites
15 минут назад, VitalyMoiseev сказал:

кто говорил про рабочее оборудование?  Для поиграться с IPv6 only хороша виртуалка. Но пока да - в реальную работу IPv6 only рано

Проблема в том, что оно в состоянии "рано ещё" висит уже много лет и прогресса пока не видно. Ну да, энтузиасты отлаживают работу, вылавливают баги, спасибо им большое, но пока и всё. Тут надо как-то директивным методом, кто-то должен принять волевое решение и сказать: с такого-то числа ipV4 отключаем совсем и не просите и не говорите, что не предупреждали. Да, месяцок весь инет будет колбасить, но рано или поздно устаканится. Но такая революция особо никому не нужна, гораздо выгоднее торговать адресами ipV4 :).

Кроме того, адреса ipV6 денег стОят, а я жадный, лучше я эти деньги пропью...

Edited by Baneff

Share this post


Link to post
Share on other sites
Только что, Baneff сказал:

Проблема в том, что оно в состоянии "рано ещё" висит уже много лет и прогресса пока не видно

это да. Ситуация с внедрением IPv6 напоминает старый анекдот про неуловимого Джо, который просто никому не нужен :)

Share this post


Link to post
Share on other sites
1 час назад, VitalyMoiseev сказал:

На дворе 2019 год - надо думать не о вырезании ИПв6, а о его внедрении

если не ошибаюсь - примерно то же я слышал где-то 10 лет назад. и, вангую, примерно то же будут говорить еще через 10 лет :)

  • Like 2

Share this post


Link to post
Share on other sites

Очень много знакомых говорят, что пробовали "въехать" в ipv6 - и не пошло. Видимо, консервативное мышление мешает. Ничего там сложного нет. Более того, там уйма вещей намного проще, чем у v4.

 

А "экспериментировать" с ipv6 надо не для того, что бы "вылавливать глюки", а для того, что бы спокойно внедрять его. дуал-стек будет еще очень много лет, но это не мешает провайдерам для начала к своим ресурсам добавить 6-ю версию.

 

PS Выпиливание ipv6 из ядра действительно старая привычка дуть на воду., Смысла в этом особого нет.

  • Like 2

Share this post


Link to post
Share on other sites
20 минут назад, vop сказал:

Очень много знакомых говорят, что пробовали "въехать" в ipv6 - и не пошло. Видимо, консервативное мышление мешает. Ничего там сложного нет. Более того, там уйма вещей намного проще, чем у v4.

 

А "экспериментировать" с ipv6 надо не для того, что бы "вылавливать глюки", а для того, что бы спокойно внедрять его. дуал-стек будет еще очень много лет, но это не мешает провайдерам для начала к своим ресурсам добавить 6-ю версию.

 

PS Выпиливание ipv6 из ядра действительно старая привычка дуть на воду., Смысла в этом особого нет.

Извините, но я к вопросу подхожу прагматически. Без v6 всё работает? Да, всё работает. Добавление V6 принесёт хоть какую нибудь практическую пользу кроме удовлетворения собственного любопытства? Нет, не принесёт. Внесение в систему новой сущности усложнит администрирование и станет источником новых ненужных проблем? Да, несомненно. 100 євро в год - деньги не сильно большие, но что, уже совсем их девать некуда? Нет, есть куда деть их и так. Так зачем тогда? Нафига попу гармонь? Когда нибудь, но не теперь. И чем позже, тем лучше. Не?

Share this post


Link to post
Share on other sites
1 hour ago, Baneff said:

Извините, но я к вопросу подхожу прагматически. Без v6 всё работает? Да, всё работает. Добавление V6 принесёт хоть какую нибудь практическую пользу кроме удовлетворения собственного любопытства? Нет, не принесёт. Внесение в систему новой сущности усложнит администрирование и станет источником новых ненужных проблем? Да, несомненно. 100 євро в год - деньги не сильно большие, но что, уже совсем их девать некуда? Нет, есть куда деть их и так. Так зачем тогда? Нафига попу гармонь? Когда нибудь, но не теперь. И чем позже, тем лучше. Не?

 

Вы меня сейчас просите убедить вас поддерживать v6? Hmmm... Скажу прямо - у меня нет для вас аргументов. Я понятия не имею, зачем вас это делать.

 

:)

Share this post


Link to post
Share on other sites
3 минуты назад, vop сказал:

 

Вы меня сейчас просите убедить вас поддерживать v6? Hmmm... Скажу прямо - у меня нет для вас аргументов. Я понятия не имею, зачем вас это делать.

 

:)

Где это я вас о чём-то просил? Но да, я тоже понятия не имею зачем мне это делать и у меня тоже нет для себя аргументов. У нас с вами полное согласие и взаимопонимание. С чем я всех нас и поздравляю, пора идти домой.

 

Share this post


Link to post
Share on other sites

Маленькое уточнение. Я написал, что у меня нет "для вас" аргументов, а не "для нас с вами" :)

 

А так да, пора домой.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By Nejron
      Всем здрям! ))
      Изложу суть :
      Имеется некий сервис (в данном случае IPTV личного производства)
      Хотелось бы контролировать с билинга доступ к нему.
      В профиле пользователя создал дополнительное поле с типом "TRIGGER".
       
      А вот дальше хочу спросить как правильно заполнить свою таблицу для ipfw?
      Добавлять/удалять от туда ip клиентов и возможно еще что то посоветуете.
      Возможно кто то что то подобное делал,
      не оставте начинающего админа без совета 😉
       
    • By Oleg2018
      Посоветуйте ,такая ситуация при сканировании хоста с биллингом во внешней сети открытые порты 5555 (stargazer), и 80 (apache). Если их нужно наверное спрятать от внешней сети, то как правильно написать правило ipfw ,касательно этих портов.Все остальное что вылезло после установки я закрыл, а здесь не получается никак. Спаибо заранее. 
    • By Baneff
      Всем привет.
      Давно использую freebsd + ipfw + dummynet + kernel nat + ещё куча всякого разного и всё на одном серваке. Менять платформу не хочу - старый я уже для этого. Так вот. Нагрузка постепенно растёт, пора как-бы железо менять в очередной раз, но есть проблема. Всё в этой схеме прекрасно параллелится на мультиядерной системе. Всё, кроме старичка DUMMYNET. В очередной раз смотрю на процесс kernel{dummynet} и в очередной раз вижу конкретное узкое место во всй системе. Обойти невозможно, работает только в один поток и когда загрузка превышает 80-90% начинаются естественные проблемы. Все остальное работает с большим запасом по нагрузке. Вот и вопрос: как-то эту проблему удаётся решать? Чем шейпить юзеров, если не дамминетом? Или может появилась возможность как-то его параллелить? Или, возможно, какие-то новые методы позволяют как-то снизить нагрузку на дамминет? В документации появились некие новые варианты настроек CoDel, PIE, FQ-CoDel и FQ-PIE в дополнение к старым, может они помогут? Кто-то пробовал?
      Спасибо.
    • By rusol
      Здравствуйте, голова уже болит, мысли закончились, может кто-то подскажет чего...

      Ситуация такая:

      Клиент жалуется, что c их ftp, который находиться в России, плохая скорость (прыгает от 10 Мбит/с до 30 Мбит/с, по тарифу должна быть 100 Мбит/с), проверили на ftp другого хостинга - все нормально, 100 Мбит.

      Я бы не писал сюда, но есть одно большое НО.. когда я захожу на главный маршрутизатор (FreeBSD + Nodeny 50.32 + IPFW + PF), то с главного сервака скорость отличная, а за серваком (в сети) скорость падает, при этом на другие ftp скорость хорошая с сети...

      То-есть без связки Nodeny + IPFW + PF - скорость отличная (на главном серваке).

      Подставлял реальный IP сервака на локальную машину, думал может ftp по IP что-то ограничивает, эффекта не дало...

      Может кто подскажет куда поглядеть, у меня уже мысли заканчиваются...
×