NAT на freebsd

[supportod]

5 часов назад, Kto To сказал:

У меня на уйме своих и тех что я веду акцесниках вырезан нах@р IPV6 в ядре - несколько лет полет нормальный.

И какой лимит скорости на всем сервере? 1.4-1.6 Гбит в пике и больше не поднимается?

[supportod]

В 08.02.2019 в 18:48, Pautiina сказал:

cc_htcp_load="YES"
cc_chd_load="YES"

net.inet.tcp.cc.algorithm=htcp
net.inet.tcp.cc.htcp.adaptive_backoff=1
net.inet.tcp.cc.htcp.rtt_scaling=1

выше указанные параметры нужны для апаче.

Эх. Это настройки для TCP, в основном, для контроля перегруза и никак здесь Апач не относится, он на другом уровне работает.
Я, конечно, понимаю, что надо все сделать, чтоб хомяк не кушал всю полосу пропускания, но не такими же методами ему портить TCP/IP стек на транзите.

Відредаговано 12 лютого, 2019 supportod

[Kto To]

В 12.02.2019 в 01:50, supportod сказал:

И какой лимит скорости на всем сервере? 1.4-1.6 Гбит в пике и больше не поднимается?

1.8 гбит - ЛА не выше двух, нагрузка на ядра сетевух 30%. Если онлайна на серваке > 1500 PPPOE - надо покупать второй сервак а не рассказывать басни про IPV6 вкомпиленный в ядро 

[Sоrk]

В 08.02.2019 в 13:45, Sоrk сказал:

Xeon E5-1650 v4

уточнение, данный конфиг и графики с сервера на E5-1620 v2 (4 ядра), для Xeon E5-1650 v4 (6 ядер) производительность выше ровно пропорционально ядрам.

 

В 08.02.2019 в 18:48, Pautiina сказал:

Патчить libalias никогда не пробовал, нужно будет попробовать

сложно сказать благодаря этому или нет, но 1 млн NAT сессий на сервере живёт

 

7 часов назад, supportod сказал:

1.4-1.6 Гбит в пике и больше не поднимается?

так вот же у меня отключен ipv6 и 4-5 гбит без проблем.

Или имеется в виду для одной TCP-сессии?

но ради эксперимента как-то попробую включить назад.

 

7 часов назад, supportod сказал:

Я, конечно, понимаю, что надо все сделать, чтоб хомяк не кушал всю полосу пропускания, но не такими же методами ему портить TCP/IP стек на транзите.

Идея ровно в противоположном - помочь пользователям на нестабильном домашнем WiFi развивать большую скорость в один TCP-поток.

Ради этого даже syncookies отключены.

Но действительно, на транзитный трафик это не влияет, параметры TCP-окна это это всё же индивидуальная договорённость клиента и сервера.

[KaYot]

8 часов назад, supportod сказал:

Эх. Это настройки для TCP, в основном, для контроля перегруза и никак здесь Апач не относится, он на другом уровне работает.
Я, конечно, понимаю, что надо все сделать, чтоб хомяк не кушал всю полосу пропускания, но не такими же методами ему портить TCP/IP стек на транзите.

И эти люди рекламируют свои услуги удаленной настройки и оптимизации

Оптимизация ненужных параметров по Сысоеву и лечение всех проблем включением неиспользуемого IPv6?

[Baneff]

13 часов назад, D780 сказал:

Если не используется ipnat то ipV6 вырезаю тоже, для ipnat нужен этот параметр в ядре, по крайней мере так было в 10.* и 11, как в 12-й ветке не знаю, не тестировал.

А так на всех серверах где ipV6 не используется он вырезан, глюков не замечено.

 

Подтверждаю. Всегда вырезал и продолжаю вырезать ipV6, как в ядре, так и в мире и в портах. SCTP также вырезаю, без надобности. Не говоря уже об иксах. Также в ядре вырезаю все ненужные драйвера и отладочные функции. Многие годы никаких проблем это вырезание не вызывало, полёт нормальный. ipnat никогда не использовал, так что по этому поводу ничего сказать не могу.

Відредаговано 12 лютого, 2019 Baneff

[Baneff]

В 08.02.2019 в 09:36, supportod сказал:

На FreeBSD 11.2 и выше только pf NAT.

А вот почему так категорично? Можете обосновать?

[Baneff]

9 часов назад, supportod сказал:

И какой лимит скорости на всем сервере? 1.4-1.6 Гбит в пике и больше не поднимается?

 

Обоснуйте, плиз. Каким образом вырезанный ipV6 может повлиять на лимит скорости? Где такая проблема описана?

[VitalyMoiseev]

Вот почитал столько умных советов по вырезанию ИПв6 и "лишних" драйверов и смотрю на свой сервак с натом. На одном i7, с 11,2 фрей, из которой ничего не вырезано, и kernel ipfw nat и удивляюсь - как так это он 4 гига натит без особого напряга?

[Baneff]

10 минут назад, VitalyMoiseev сказал:

Вот почитал столько умных советов по вырезанию ИПв6 и "лишних" драйверов и смотрю на свой сервак с натом. На одном i7, с 11,2 фрей, из которой ничего не вырезано, и kernel ipfw nat и удивляюсь - как так это он 4 гига натит без особого напряга?

Сам себя не похвалишь... Возьмите с полки пирожок! Никто не говорил, что без "вырезания" невозможно натить 4 гига. Говорили о том, что "вырезание" по крайней мере не ухудшает ситуацию. Только supportod утверждает обратное. Ну подождём, может обоснует.

Відредаговано 12 лютого, 2019 Baneff

[VitalyMoiseev]

42 минуты назад, Baneff сказал:

Говорили о том, что "вырезание" по крайней мере не ухудшает ситуацию

а в чем сакральный смысл такого "вырезания", если оно "не ухудшает", а раз отлично работает и без вырезания - то и не улучшает ничего? На дворе 2019 год - надо думать не о вырезании ИПв6, а о его внедрении

[Baneff]

1 минуту назад, VitalyMoiseev сказал:

а в чем сакральный смысл такого "вырезания", если оно "не ухудшает", а раз отлично работает и без вырезания - то и не улучшает ничего? На дворе 2019 год - надо думать не о вырезании ИПв6, а о его внедрении

Ну "вырезание" - оно исторически так сложилось. Вырезали когда не хватало памяти. Сейчас уже да, наверное нет такой необходимости. Хотя вот я столкнулся опять с этим на виртуальном хостинге. Там за память деньги надо платить, а маленькое ядро влезает в минимальный тарифный план. Где-то так :).

Насчёт ipV6 скажите-ка мне, возможно сейчас уже или в обозримом будущем обойтись вообще без ipV4, то есть полностью перейти на ipV6 ? Если нет, то не вижу я ну никакого смысла держать два стека, первый из которых давно отлажен и вполне самодостаточен, а второй сырой и вообще непонятно для чего. Это чтобы жизнь мёдом не казалась? Так что в 2019 году я думаю, что можно только думать, думать и ещё раз думать. Ну помечтать не вредно.

[kvirtu]

15 часов назад, maxx сказал:

c 4й

В смысле выпиливать в6 начали с 4й. полет нормальный.

тоже вырезаю нафиг, все работает нормально

[VitalyMoiseev]

Только что, Baneff сказал:

Ну "вырезание" - оно исторически так сложилось. Вырезали когда не хватало памяти. Сейчас уже да, наверное нет такой необходимости. Хотя вот я столкнулся опять с этим на виртуальном хостинге. Там за память деньги надо платить, а маленькое ядро влезает в минимальный тарифный план. Где-то так :).

ну да, были времена - резали все, что можно, борясь за каждый КБ

Но для сервера NAT явно не будет характерна проблема впихивания ядра в минимум памяти.

2 минуты назад, Baneff сказал:

Насчёт ipV6 скажите-ка мне, возможно сейчас уже или в обозримом будущем обойтись вообще без ipV4, то есть полностью перейти на ipV6 ?

пока только в виде эксперимента, чисто поиграться

[kvirtu]

11 часов назад, supportod сказал:

Эх. Это настройки для TCP, в основном, для контроля перегруза и никак здесь Апач не относится, он на другом уровне работает.
Я, конечно, понимаю, что надо все сделать, чтоб хомяк не кушал всю полосу пропускания, но не такими же методами ему портить TCP/IP стек на транзите.

а какими, подскажите ?

[Baneff]

2 минуты назад, VitalyMoiseev сказал:

ну да, были времена - резали все, что можно, борясь за каждый КБ

Но для сервера NAT явно не будет характерна проблема впихивания ядра в минимум памяти

Согласен, там где НАТ память экономить не стоит, она сейчас дешёвая.

 

7 минут назад, VitalyMoiseev сказал:

пока только в виде эксперимента, чисто поиграться

Это, как бы сказать. Играться с оборудованим, которое стоит на боевом дежурстве? Типа на живых юзерах эксперименты ставить? Не, я не мозахист, я ночью спать люблю.

[VitalyMoiseev]

40 минут назад, Baneff сказал:

Это, как бы сказать. Играться с оборудованим, которое стоит на боевом дежурстве? Типа на живых юзерах эксперименты ставить? Не, я не мозахист, я ночью спать люблю.

кто говорил про рабочее оборудование?  Для поиграться с IPv6 only хороша виртуалка. Но пока да - в реальную работу IPv6 only рано

[Baneff]

15 минут назад, VitalyMoiseev сказал:

кто говорил про рабочее оборудование?  Для поиграться с IPv6 only хороша виртуалка. Но пока да - в реальную работу IPv6 only рано

Проблема в том, что оно в состоянии "рано ещё" висит уже много лет и прогресса пока не видно. Ну да, энтузиасты отлаживают работу, вылавливают баги, спасибо им большое, но пока и всё. Тут надо как-то директивным методом, кто-то должен принять волевое решение и сказать: с такого-то числа ipV4 отключаем совсем и не просите и не говорите, что не предупреждали. Да, месяцок весь инет будет колбасить, но рано или поздно устаканится. Но такая революция особо никому не нужна, гораздо выгоднее торговать адресами ipV4 :).

Кроме того, адреса ipV6 денег стОят, а я жадный, лучше я эти деньги пропью...

Відредаговано 12 лютого, 2019 Baneff

[VitalyMoiseev]

Только что, Baneff сказал:

Проблема в том, что оно в состоянии "рано ещё" висит уже много лет и прогресса пока не видно

это да. Ситуация с внедрением IPv6 напоминает старый анекдот про неуловимого Джо, который просто никому не нужен

[NiTr0]

1 час назад, VitalyMoiseev сказал:

На дворе 2019 год - надо думать не о вырезании ИПв6, а о его внедрении

если не ошибаюсь - примерно то же я слышал где-то 10 лет назад. и, вангую, примерно то же будут говорить еще через 10 лет

[vop]

Очень много знакомых говорят, что пробовали "въехать" в ipv6 - и не пошло. Видимо, консервативное мышление мешает. Ничего там сложного нет. Более того, там уйма вещей намного проще, чем у v4.

 

А "экспериментировать" с ipv6 надо не для того, что бы "вылавливать глюки", а для того, что бы спокойно внедрять его. дуал-стек будет еще очень много лет, но это не мешает провайдерам для начала к своим ресурсам добавить 6-ю версию.

 

PS Выпиливание ipv6 из ядра действительно старая привычка дуть на воду., Смысла в этом особого нет.

[Baneff]

20 минут назад, vop сказал:

Очень много знакомых говорят, что пробовали "въехать" в ipv6 - и не пошло. Видимо, консервативное мышление мешает. Ничего там сложного нет. Более того, там уйма вещей намного проще, чем у v4.

 

А "экспериментировать" с ipv6 надо не для того, что бы "вылавливать глюки", а для того, что бы спокойно внедрять его. дуал-стек будет еще очень много лет, но это не мешает провайдерам для начала к своим ресурсам добавить 6-ю версию.

 

PS Выпиливание ipv6 из ядра действительно старая привычка дуть на воду., Смысла в этом особого нет.

Извините, но я к вопросу подхожу прагматически. Без v6 всё работает? Да, всё работает. Добавление V6 принесёт хоть какую нибудь практическую пользу кроме удовлетворения собственного любопытства? Нет, не принесёт. Внесение в систему новой сущности усложнит администрирование и станет источником новых ненужных проблем? Да, несомненно. 100 євро в год - деньги не сильно большие, но что, уже совсем их девать некуда? Нет, есть куда деть их и так. Так зачем тогда? Нафига попу гармонь? Когда нибудь, но не теперь. И чем позже, тем лучше. Не?

[vop]

1 hour ago, Baneff said:

Извините, но я к вопросу подхожу прагматически. Без v6 всё работает? Да, всё работает. Добавление V6 принесёт хоть какую нибудь практическую пользу кроме удовлетворения собственного любопытства? Нет, не принесёт. Внесение в систему новой сущности усложнит администрирование и станет источником новых ненужных проблем? Да, несомненно. 100 євро в год - деньги не сильно большие, но что, уже совсем их девать некуда? Нет, есть куда деть их и так. Так зачем тогда? Нафига попу гармонь? Когда нибудь, но не теперь. И чем позже, тем лучше. Не?

 

Вы меня сейчас просите убедить вас поддерживать v6? Hmmm... Скажу прямо - у меня нет для вас аргументов. Я понятия не имею, зачем вас это делать.

 

[Baneff]

3 минуты назад, vop сказал:

 

Вы меня сейчас просите убедить вас поддерживать v6? Hmmm... Скажу прямо - у меня нет для вас аргументов. Я понятия не имею, зачем вас это делать.

 

Где это я вас о чём-то просил? Но да, я тоже понятия не имею зачем мне это делать и у меня тоже нет для себя аргументов. У нас с вами полное согласие и взаимопонимание. С чем я всех нас и поздравляю, пора идти домой.

 

[vop]

Маленькое уточнение. Я написал, что у меня нет "для вас" аргументов, а не "для нас с вами"

 

А так да, пора домой.