Перейти до

NAT на freebsd


Рекомендованные сообщения

5 часов назад, Kto To сказал:

У меня на уйме своих и тех что я веду акцесниках вырезан нах@р IPV6 в ядре - несколько лет полет нормальный.

И какой лимит скорости на всем сервере? :) 1.4-1.6 Гбит в пике и больше не поднимается? :)

Ссылка на сообщение
Поделиться на других сайтах
  • Відповіді 153
  • Створено
  • Остання відповідь

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

Лучший НАТ на БСД это любой дистрибутив linux

Ага, он поставит сервак типо R210 или G6/7/8 за 400+.

Настройки ядра: /usr/src/sys/amd64/conf/GENERIC - ничего особенного #options      INET6  #disable IPv6 options         IPFIREWALL options         IPFIREWALL_NAT options         IPFIREWALL_DEFAULT

Posted Images

В 08.02.2019 в 18:48, Pautiina сказал:

cc_htcp_load="YES"
cc_chd_load="YES"

net.inet.tcp.cc.algorithm=htcp
net.inet.tcp.cc.htcp.adaptive_backoff=1
net.inet.tcp.cc.htcp.rtt_scaling=1

выше указанные параметры нужны для апаче.


Эх. Это настройки для TCP, в основном, для контроля перегруза и никак здесь Апач не относится, он на другом уровне работает.
Я, конечно, понимаю, что надо все сделать, чтоб хомяк не кушал всю полосу пропускания, но не такими же методами ему портить TCP/IP стек на транзите.

Відредаговано supportod
Ссылка на сообщение
Поделиться на других сайтах
В 12.02.2019 в 01:50, supportod сказал:

И какой лимит скорости на всем сервере? :) 1.4-1.6 Гбит в пике и больше не поднимается? :)

1.8 гбит - ЛА не выше двух, нагрузка на ядра сетевух 30%. Если онлайна на серваке > 1500 PPPOE - надо покупать второй сервак а не рассказывать басни про IPV6 вкомпиленный в ядро :D

Ссылка на сообщение
Поделиться на других сайтах
В 08.02.2019 в 13:45, Sоrk сказал:

Xeon E5-1650 v4

уточнение, данный конфиг и графики с сервера на E5-1620 v2 (4 ядра), для Xeon E5-1650 v4 (6 ядер) производительность выше ровно пропорционально ядрам.

 

В 08.02.2019 в 18:48, Pautiina сказал:

Патчить libalias никогда не пробовал, нужно будет попробовать

сложно сказать благодаря этому или нет, но 1 млн NAT сессий на сервере живёт

image.png.8e168457ffaf621c116621d30e67076a.png

 

7 часов назад, supportod сказал:

1.4-1.6 Гбит в пике и больше не поднимается?

так вот же у меня отключен ipv6 и 4-5 гбит без проблем.

Или имеется в виду для одной TCP-сессии?

но ради эксперимента как-то попробую включить назад.

 

7 часов назад, supportod сказал:

Я, конечно, понимаю, что надо все сделать, чтоб хомяк не кушал всю полосу пропускания, но не такими же методами ему портить TCP/IP стек на транзите.

Идея ровно в противоположном - помочь пользователям на нестабильном домашнем WiFi развивать большую скорость в один TCP-поток.

Ради этого даже syncookies отключены.

Но действительно, на транзитный трафик это не влияет, параметры TCP-окна это это всё же индивидуальная договорённость клиента и сервера.

Ссылка на сообщение
Поделиться на других сайтах
8 часов назад, supportod сказал:

Эх. Это настройки для TCP, в основном, для контроля перегруза и никак здесь Апач не относится, он на другом уровне работает.
Я, конечно, понимаю, что надо все сделать, чтоб хомяк не кушал всю полосу пропускания, но не такими же методами ему портить TCP/IP стек на транзите.

И эти люди рекламируют свои услуги удаленной настройки и оптимизации :)

Оптимизация ненужных параметров по Сысоеву и лечение всех проблем включением неиспользуемого IPv6?

  • Like 1
Ссылка на сообщение
Поделиться на других сайтах
13 часов назад, D780 сказал:

Если не используется ipnat то ipV6 вырезаю тоже, для ipnat нужен этот параметр в ядре, по крайней мере так было в 10.* и 11, как в 12-й ветке не знаю, не тестировал.

А так на всех серверах где ipV6 не используется он вырезан, глюков не замечено.

 

Подтверждаю. Всегда вырезал и продолжаю вырезать ipV6, как в ядре, так и в мире и в портах. SCTP также вырезаю, без надобности. Не говоря уже об иксах. Также в ядре вырезаю все ненужные драйвера и отладочные функции. Многие годы никаких проблем это вырезание не вызывало, полёт нормальный. ipnat никогда не использовал, так что по этому поводу ничего сказать не могу.

Відредаговано Baneff
Ссылка на сообщение
Поделиться на других сайтах
9 часов назад, supportod сказал:

И какой лимит скорости на всем сервере? :) 1.4-1.6 Гбит в пике и больше не поднимается? :)

 

Обоснуйте, плиз. Каким образом вырезанный ipV6 может повлиять на лимит скорости? Где такая проблема описана?

Ссылка на сообщение
Поделиться на других сайтах

Вот почитал столько умных советов по вырезанию ИПв6 и "лишних" драйверов и смотрю на свой сервак с натом. На одном i7, с 11,2 фрей, из которой ничего не вырезано, и kernel ipfw nat и удивляюсь - как так это он 4 гига натит без особого напряга? :)

Ссылка на сообщение
Поделиться на других сайтах
10 минут назад, VitalyMoiseev сказал:

Вот почитал столько умных советов по вырезанию ИПв6 и "лишних" драйверов и смотрю на свой сервак с натом. На одном i7, с 11,2 фрей, из которой ничего не вырезано, и kernel ipfw nat и удивляюсь - как так это он 4 гига натит без особого напряга? :)

Сам себя не похвалишь... Возьмите с полки пирожок! Никто не говорил, что без "вырезания" невозможно натить 4 гига. Говорили о том, что "вырезание" по крайней мере не ухудшает ситуацию. Только supportod утверждает обратное. Ну подождём, может обоснует.

Відредаговано Baneff
Ссылка на сообщение
Поделиться на других сайтах
42 минуты назад, Baneff сказал:

Говорили о том, что "вырезание" по крайней мере не ухудшает ситуацию

а в чем сакральный смысл такого "вырезания", если оно "не ухудшает", а раз отлично работает и без вырезания - то и не улучшает ничего? На дворе 2019 год - надо думать не о вырезании ИПв6, а о его внедрении :)

  • Like 2
Ссылка на сообщение
Поделиться на других сайтах
1 минуту назад, VitalyMoiseev сказал:

а в чем сакральный смысл такого "вырезания", если оно "не ухудшает", а раз отлично работает и без вырезания - то и не улучшает ничего? На дворе 2019 год - надо думать не о вырезании ИПв6, а о его внедрении :)

Ну "вырезание" - оно исторически так сложилось. Вырезали когда не хватало памяти. Сейчас уже да, наверное нет такой необходимости. Хотя вот я столкнулся опять с этим на виртуальном хостинге. Там за память деньги надо платить, а маленькое ядро влезает в минимальный тарифный план. Где-то так :).

Насчёт ipV6 скажите-ка мне, возможно сейчас уже или в обозримом будущем обойтись вообще без ipV4, то есть полностью перейти на ipV6 ? Если нет, то не вижу я ну никакого смысла держать два стека, первый из которых давно отлажен и вполне самодостаточен, а второй сырой и вообще непонятно для чего. Это чтобы жизнь мёдом не казалась? Так что в 2019 году я думаю, что можно только думать, думать и ещё раз думать. Ну помечтать не вредно.

Ссылка на сообщение
Поделиться на других сайтах
15 часов назад, maxx сказал:

c 4й

В смысле выпиливать в6 начали с 4й. полет нормальный.

тоже вырезаю нафиг, все работает нормально

Ссылка на сообщение
Поделиться на других сайтах
Только что, Baneff сказал:

Ну "вырезание" - оно исторически так сложилось. Вырезали когда не хватало памяти. Сейчас уже да, наверное нет такой необходимости. Хотя вот я столкнулся опять с этим на виртуальном хостинге. Там за память деньги надо платить, а маленькое ядро влезает в минимальный тарифный план. Где-то так :).

ну да, были времена - резали все, что можно, борясь за каждый КБ :)

Но для сервера NAT явно не будет характерна проблема впихивания ядра в минимум памяти.

2 минуты назад, Baneff сказал:

Насчёт ipV6 скажите-ка мне, возможно сейчас уже или в обозримом будущем обойтись вообще без ipV4, то есть полностью перейти на ipV6 ?

пока только в виде эксперимента, чисто поиграться :)

Ссылка на сообщение
Поделиться на других сайтах
11 часов назад, supportod сказал:


Эх. Это настройки для TCP, в основном, для контроля перегруза и никак здесь Апач не относится, он на другом уровне работает.
Я, конечно, понимаю, что надо все сделать, чтоб хомяк не кушал всю полосу пропускания, но не такими же методами ему портить TCP/IP стек на транзите.

а какими, подскажите ?

Ссылка на сообщение
Поделиться на других сайтах
2 минуты назад, VitalyMoiseev сказал:

ну да, были времена - резали все, что можно, борясь за каждый КБ :)

Но для сервера NAT явно не будет характерна проблема впихивания ядра в минимум памяти

Согласен, там где НАТ память экономить не стоит, она сейчас дешёвая.

 

7 минут назад, VitalyMoiseev сказал:

пока только в виде эксперимента, чисто поиграться :)

Это, как бы сказать. Играться с оборудованим, которое стоит на боевом дежурстве? Типа на живых юзерах эксперименты ставить? Не, я не мозахист, я ночью спать люблю.

Ссылка на сообщение
Поделиться на других сайтах
40 минут назад, Baneff сказал:

Это, как бы сказать. Играться с оборудованим, которое стоит на боевом дежурстве? Типа на живых юзерах эксперименты ставить? Не, я не мозахист, я ночью спать люблю.

кто говорил про рабочее оборудование?  Для поиграться с IPv6 only хороша виртуалка. Но пока да - в реальную работу IPv6 only рано

Ссылка на сообщение
Поделиться на других сайтах
15 минут назад, VitalyMoiseev сказал:

кто говорил про рабочее оборудование?  Для поиграться с IPv6 only хороша виртуалка. Но пока да - в реальную работу IPv6 only рано

Проблема в том, что оно в состоянии "рано ещё" висит уже много лет и прогресса пока не видно. Ну да, энтузиасты отлаживают работу, вылавливают баги, спасибо им большое, но пока и всё. Тут надо как-то директивным методом, кто-то должен принять волевое решение и сказать: с такого-то числа ipV4 отключаем совсем и не просите и не говорите, что не предупреждали. Да, месяцок весь инет будет колбасить, но рано или поздно устаканится. Но такая революция особо никому не нужна, гораздо выгоднее торговать адресами ipV4 :).

Кроме того, адреса ipV6 денег стОят, а я жадный, лучше я эти деньги пропью...

Відредаговано Baneff
Ссылка на сообщение
Поделиться на других сайтах
Только что, Baneff сказал:

Проблема в том, что оно в состоянии "рано ещё" висит уже много лет и прогресса пока не видно

это да. Ситуация с внедрением IPv6 напоминает старый анекдот про неуловимого Джо, который просто никому не нужен :)

Ссылка на сообщение
Поделиться на других сайтах
1 час назад, VitalyMoiseev сказал:

На дворе 2019 год - надо думать не о вырезании ИПв6, а о его внедрении

если не ошибаюсь - примерно то же я слышал где-то 10 лет назад. и, вангую, примерно то же будут говорить еще через 10 лет :)

  • Like 2
Ссылка на сообщение
Поделиться на других сайтах

Очень много знакомых говорят, что пробовали "въехать" в ipv6 - и не пошло. Видимо, консервативное мышление мешает. Ничего там сложного нет. Более того, там уйма вещей намного проще, чем у v4.

 

А "экспериментировать" с ipv6 надо не для того, что бы "вылавливать глюки", а для того, что бы спокойно внедрять его. дуал-стек будет еще очень много лет, но это не мешает провайдерам для начала к своим ресурсам добавить 6-ю версию.

 

PS Выпиливание ipv6 из ядра действительно старая привычка дуть на воду., Смысла в этом особого нет.

  • Like 2
Ссылка на сообщение
Поделиться на других сайтах
20 минут назад, vop сказал:

Очень много знакомых говорят, что пробовали "въехать" в ipv6 - и не пошло. Видимо, консервативное мышление мешает. Ничего там сложного нет. Более того, там уйма вещей намного проще, чем у v4.

 

А "экспериментировать" с ipv6 надо не для того, что бы "вылавливать глюки", а для того, что бы спокойно внедрять его. дуал-стек будет еще очень много лет, но это не мешает провайдерам для начала к своим ресурсам добавить 6-ю версию.

 

PS Выпиливание ipv6 из ядра действительно старая привычка дуть на воду., Смысла в этом особого нет.

Извините, но я к вопросу подхожу прагматически. Без v6 всё работает? Да, всё работает. Добавление V6 принесёт хоть какую нибудь практическую пользу кроме удовлетворения собственного любопытства? Нет, не принесёт. Внесение в систему новой сущности усложнит администрирование и станет источником новых ненужных проблем? Да, несомненно. 100 євро в год - деньги не сильно большие, но что, уже совсем их девать некуда? Нет, есть куда деть их и так. Так зачем тогда? Нафига попу гармонь? Когда нибудь, но не теперь. И чем позже, тем лучше. Не?

Ссылка на сообщение
Поделиться на других сайтах
1 hour ago, Baneff said:

Извините, но я к вопросу подхожу прагматически. Без v6 всё работает? Да, всё работает. Добавление V6 принесёт хоть какую нибудь практическую пользу кроме удовлетворения собственного любопытства? Нет, не принесёт. Внесение в систему новой сущности усложнит администрирование и станет источником новых ненужных проблем? Да, несомненно. 100 євро в год - деньги не сильно большие, но что, уже совсем их девать некуда? Нет, есть куда деть их и так. Так зачем тогда? Нафига попу гармонь? Когда нибудь, но не теперь. И чем позже, тем лучше. Не?

 

Вы меня сейчас просите убедить вас поддерживать v6? Hmmm... Скажу прямо - у меня нет для вас аргументов. Я понятия не имею, зачем вас это делать.

 

:)

Ссылка на сообщение
Поделиться на других сайтах
3 минуты назад, vop сказал:

 

Вы меня сейчас просите убедить вас поддерживать v6? Hmmm... Скажу прямо - у меня нет для вас аргументов. Я понятия не имею, зачем вас это делать.

 

:)

Где это я вас о чём-то просил? Но да, я тоже понятия не имею зачем мне это делать и у меня тоже нет для себя аргументов. У нас с вами полное согласие и взаимопонимание. С чем я всех нас и поздравляю, пора идти домой.

 

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від Nejron
      Всем здрям! ))
      Изложу суть :
      Имеется некий сервис (в данном случае IPTV личного производства)
      Хотелось бы контролировать с билинга доступ к нему.
      В профиле пользователя создал дополнительное поле с типом "TRIGGER".
       
      А вот дальше хочу спросить как правильно заполнить свою таблицу для ipfw?
      Добавлять/удалять от туда ip клиентов и возможно еще что то посоветуете.
      Возможно кто то что то подобное делал,
      не оставте начинающего админа без совета ?
       
    • Від Oleg2018
      Посоветуйте ,такая ситуация при сканировании хоста с биллингом во внешней сети открытые порты 5555 (stargazer), и 80 (apache). Если их нужно наверное спрятать от внешней сети, то как правильно написать правило ipfw ,касательно этих портов.Все остальное что вылезло после установки я закрыл, а здесь не получается никак. Спаибо заранее. 
    • Від Baneff
      Всем привет.
      Давно использую freebsd + ipfw + dummynet + kernel nat + ещё куча всякого разного и всё на одном серваке. Менять платформу не хочу - старый я уже для этого. Так вот. Нагрузка постепенно растёт, пора как-бы железо менять в очередной раз, но есть проблема. Всё в этой схеме прекрасно параллелится на мультиядерной системе. Всё, кроме старичка DUMMYNET. В очередной раз смотрю на процесс kernel{dummynet} и в очередной раз вижу конкретное узкое место во всй системе. Обойти невозможно, работает только в один поток и когда загрузка превышает 80-90% начинаются естественные проблемы. Все остальное работает с большим запасом по нагрузке. Вот и вопрос: как-то эту проблему удаётся решать? Чем шейпить юзеров, если не дамминетом? Или может появилась возможность как-то его параллелить? Или, возможно, какие-то новые методы позволяют как-то снизить нагрузку на дамминет? В документации появились некие новые варианты настроек CoDel, PIE, FQ-CoDel и FQ-PIE в дополнение к старым, может они помогут? Кто-то пробовал?
      Спасибо.
    • Від rusol
      Здравствуйте, голова уже болит, мысли закончились, может кто-то подскажет чего...

      Ситуация такая:

      Клиент жалуется, что c их ftp, который находиться в России, плохая скорость (прыгает от 10 Мбит/с до 30 Мбит/с, по тарифу должна быть 100 Мбит/с), проверили на ftp другого хостинга - все нормально, 100 Мбит.

      Я бы не писал сюда, но есть одно большое НО.. когда я захожу на главный маршрутизатор (FreeBSD + Nodeny 50.32 + IPFW + PF), то с главного сервака скорость отличная, а за серваком (в сети) скорость падает, при этом на другие ftp скорость хорошая с сети...

      То-есть без связки Nodeny + IPFW + PF - скорость отличная (на главном серваке).

      Подставлял реальный IP сервака на локальную машину, думал может ftp по IP что-то ограничивает, эффекта не дало...

      Может кто подскажет куда поглядеть, у меня уже мысли заканчиваются...
    • Від LENS
      Друзья, помогите пожалуйста разобраться с проблемой скорости
       
      Nodeny 50.32
      Ядро и BRAS на разных серверах.
      BRAS сервер HP Proliant G8 360, 2CPU 2,6 Ghz, 8Gb RAM - сетевая Intel 82576
      Вход и выход собраны в lagg - итого два гига вход и выход
      Абоненты терминируются через PPPoE на mpd. Nat на pf, детализация на ipcad
       
      Проблема: при включенном ipfw и именно правилах pipe со скоростью какая то дичь, исхода нет, вход 10-13 мегабит
      Как только выключаешь ipfw - все летает, больше гигабита пролетает без проблем. При этом очевидных проблем с перегрузом ядер нет - все равномерно.
      FreeBSD bras7 11.2-STABLE FreeBSD 11.2-STABLE #0: Sun Dec 23 20:44:08 EET 2018     root@bras7:/usr/obj/usr/src/sys/BRAS7  amd64
       
      В ядро Generic  добавил опции:
      # NAS KERNEL OPTIONS options IPFIREWALL options IPFIREWALL_NAT options LIBALIAS options IPDIVERT options DUMMYNET options IPFIREWALL_DEFAULT_TO_ACCEPT options PANIC_REBOOT_WAIT_TIME=3 options NETGRAPH options NETGRAPH_BPF options NETGRAPH_IPFW options NETGRAPH_ETHER options NETGRAPH_IFACE options NETGRAPH_PPP options NETGRAPH_PPTPGRE options NETGRAPH_PPPOE options NETGRAPH_SOCKET options NETGRAPH_KSOCKET options NETGRAPH_ONE2MANY options NETGRAPH_SPLIT options NETGRAPH_TEE options NETGRAPH_TCPMSS options NETGRAPH_VJC options NETGRAPH_RFC1490 options NETGRAPH_TTY options NETGRAPH_UI
      Sysctl.conf
      net.inet6.ip6.auto_linklocal=0 net.inet6.ip6.auto_linklocal=0 # net.isr.dispatch=deferred # dev.igb.0.rx_processing_limit=4096 dev.igb.1.rx_processing_limit=4096 dev.igb.2.rx_processing_limit=4096 dev.igb.3.rx_processing_limit=4096 dev.igb.4.rx_processing_limit=4096 dev.igb.5.rx_processing_limit=4096 dev.igb.6.rx_processing_limit=4096 dev.igb.7.rx_processing_limit=4096 # net.link.lagg.default_use_flowid=1 # net.inet.ip.dummynet.pipe_slot_limit=1000 net.inet.ip.dummynet.io_fast=1 net.inet.ip.intr_queue_maxlen=10240 # kern.ipc.nmbclusters=262144 kern.ipc.maxsockbuf=16777216 kern.ipc.somaxconn=32768 kern.randompid=348 net.inet.icmp.icmplim=50 net.inet.ip.process_options=0 net.inet.ip.redirect=0 net.inet.icmp.drop_redirect=1 net.inet.tcp.blackhole=2 net.inet.tcp.delayed_ack=0 net.inet.tcp.drop_synfin=1 net.inet.tcp.msl=7500 net.inet.tcp.nolocaltimewait=1 net.inet.tcp.path_mtu_discovery=0 net.inet.tcp.recvbuf_max=16777216 net.inet.tcp.recvspace=64395 net.inet.tcp.sendbuf_max=16777216 net.inet.tcp.sendspace=64395 net.inet.udp.blackhole=1 net.inet.tcp.tso=0 net.inet.tcp.syncookies=1 net.inet.ip.ttl=226 net.inet.tcp.drop_synfin=1 net.inet.ip.accept_sourceroute=0 net.inet.icmp.bmcastecho=0 net.route.netisr_maxqlen=4096 net.graph.maxdgram=8388608 net.graph.recvspace=8388608  
      loader.conf
      kern.geom.label.gptid.enable=0 kern.geom.label.disk_ident.enable=0 # hw.igb.rxd=4096 hw.igb.txd=4096 hw.igb.max_interrupt_rate=32000 # net.route.netisr_maxqlen=4096 net.isr.defaultqlimit=4096 net.link.ifqmaxlen=10240 rc.firewall
      ${f} -f flush ${f} add 50 allow tcp from any to me 22 via lagg1 ${f} add 51 allow tcp from me 22 to any via lagg1 #${f} add 65 allow tcp from any to me 1723 #${f} add 65 allow tcp from me 1723 to any #${f} add 65 allow gre from any to me #${f} add 65 allow gre from me to any # # # PRIVATBANK + LIQPAY FREE ACCESS ${f} add 66 allow tcp from not "table(0)" to "table(17)" dst-port 80,443 # # Blocked URL ${f} add 67 fwd 127.0.0.1,8082 tcp from "table(0)" to "table(18)" dst-port 80 in ${f} add 68 reject tcp from "table(0)" to "table(18)" ${f} add 69 deny ip from "table(0)" to "table(18)" # # DENY TRACEROUTE & PING ${f} add 70 allow ip from any to any via lo0 ${f} add 71 allow icmp from 10.10.1.1 to any ${f} add 72 allow icmp from any to 10.10.1.1 ${f} add 74 deny icmp from me to any ${f} add 75 deny icmp from 10.10.0.0/24 to 10.190.0.0/16 icmptype 0,11 ${f} add 76 deny icmp from any to me ${f} add 110 allow ip from any to any via lo0 ${f} add 120 skipto 1000 ip from me to any ${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 ${f} add 160 skipto 2000 ip from any to me # ${f} add 170 allow tcp from any to ${main_server} 80,443 ${f} add 175 allow tcp from ${main_server} 80,443 to any ${f} add 180 allow tcp from any to ${main_server} 80,443 ${f} add 185 allow tcp from ${main_server} 80,443 to any ${f} add 187 allow tcp from any to ${site_server} 80 ${f} add 188 allow tcp from ${site_server} 80 to any ${f} add 190 allow udp from any to ${dns} 53 ${f} add 195 allow udp from ${dns} 53 to any ${f} add 200 skipto 500 ip from any to any via lagg1 # message module======== ${f} add 280 fwd 127.0.0.1,8081 tcp from "table(35)" to not me dst-port 80 in ${f} add 290 fwd 127.0.0.1,8080 tcp from not "table(0)" to not me dst-port 80 in #======================= ${f} add 300 skipto 4500 ip from any to any in ${f} add 400 skipto 450 ip from any to any recv lagg1 ${f} add 420 tee 1 ip from any to any ${f} add 450 tee 2 ip from any to "table(0)" ${f} add 490 allow ip from any to any ${f} add 500 skipto 32500 ip from any to any in ${f} add 510 tee 1 ip from any to any ${f} add 540 allow ip from any to any ${f} add 1000 allow udp from any 53,7723 to any ${f} add 1010 allow tcp from any to any setup keep-state ${f} add 1020 allow udp from any to any keep-state ${f} add 1100 allow ip from any to any ${f} add 2000 check-state ${f} add 2010 allow icmp from any to any ${f} add 2020 allow tcp from any to any 80,443 ${f} add 2030 allow ip from ${bras_server} to any ${f} add 2050 deny ip from any to any via lagg1 ${f} add 2060 allow udp from any to any 53,7723 ${f} add 2100 deny ip from any to any ${f} add 32490 deny ip from any to any  
      nofire.pl добавляет  еще правила:
      05000 skipto 33010 ip from table(1) to table(37) 05001 skipto 33010 ip from table(37) to table(1) 05002 deny ip from not table(0) to any 05003 skipto 5010 ip from table(127) to table(126) 05004 skipto 5030 ip from any to not table(2) 05005 deny ip from any to not table(1) 05006 pipe tablearg ip from table(21) to any 05007 deny ip from any to any 05010 pipe tablearg ip from table(127) to any 05030 deny tcp from table(15) to any 25 05400 pipe tablearg ip from table(11) to any 32000 deny ip from any to any 32490 deny ip from any to any 33000 pipe tablearg ip from table(126) to table(127) 33001 skipto 33010 ip from not table(2) to any 33002 pipe tablearg ip from any to table(20) 33003 deny ip from any to any 33400 pipe tablearg ip from any to table(10)  
      Вот эти два правила, удалив которые все работает без проблем (либо сделать ipfw -f):
      33002 pipe tablearg ip from any to table(20)
      33400 pipe tablearg ip from any to table(10)
       
      Подскажите, что может быть источником данной проблемы - при том, что на старой версии FreeBSD 7.4 все работает нормально.
      С меня бутылка хорошего горячительного средства или скажите сколько если устали пить

×
×
  • Створити нове...