NAT на freebsd

[KaYot]

1 минуту назад, Baneff сказал:

Вот и позвольте уж нам, бздунам старым пользоваться тем, к чему мы привыкли

А мы и не принуждаем. Просто предлагаем альтернативу.

NAT под Линукс делается тупо 1(!!!) строчкой в фаерволе. Тема начиналась как раз про НАТ.

Сервер доступа тоже поднимается в пару команд с помощью accel-ppp, с ААА и шейперами, причем не важно pptp/l2tp/ipoe там будет бегать.

[Baneff]

1 час назад, Чучундра сказал:

Нетграф это сила,  у линусятников ничего подобного нет

Да, потенциал был заложен огромный, но развития всё это так и не получило, очень быстро новые модули перестали писать, всё застыло. Денег никто не платит за это всё, вот и. Netmap вот тоже выдающийся прорыв был бы, но грантов нет и всё постепенно заглохло. Какие-то корыстные все стали, задарма работать не хотят, а те, кто могли и хотели постепенно вымирают. Жизнь - боль.

[KaYot]

6 минут назад, Baneff сказал:

Netmap вот тоже выдающийся прорыв был бы, но грантов нет и всё постепенно заглохло

Потому что есть полностью аналогичный фришный dpdk под линукс. Все деньги/проекты/разработчики там..

[Baneff]

14 минут назад, KaYot сказал:

А мы и не принуждаем. Просто предлагаем альтернативу.

NAT под Линукс делается тупо 1(!!!) строчкой в фаерволе. Тема начиналась как раз про НАТ.

Сервер доступа тоже поднимается в пару команд с помощью accel-ppp, с ААА и шейперами, причем не важно pptp/l2tp/ipoe там будет бегать.

 

Спасибо, не надо Я вас в свою веру не агитирую переходить, пусть будет линукс круче, а строчки считать мне лень.

Всё, я утомился, сорри. Зачем я время тут трачу - непонятно, Можете считать это сливом. Лучше книжку пойду почитаю перед сном.

Відредаговано 20 лютого, 2020 Baneff

[KaYot]

Т.е. 1 строчка это не круто, а 6 круто? Причем таблицы 2,3,5,7 ещё создать где-то надо?

 

 

На dpdk под линукс есть на наге очень интересный проект - the router.

Аналог accel-ppp полностью написанный под dpdk. Результаты ужасают, НАТ или BRAS в сборе на десктопных i5 получается 20+ Гбит.

Тупо сколько в шины/карты платформы влезет.

[Baneff]

6 минут назад, KaYot сказал:

Т.е. 1 строчка это не круто, а 6 круто? Причем таблицы 2,3,5,7 ещё создать где-то надо?

Всё-всё, я пас. Спокойной ночи.

[KaYot]

1 минуту назад, Baneff сказал:

Всё-всё, я пас. Спокойной ночи.

Вот конфиг моего боевого НАТ-бокса. Обслуживает ~10к серых абонентов))

# не НАТить доступ к серверу

-A POSTROUTING -d xx.xxx.xx.3 -j RETURN

# НАТить статически серый пул в реальный рул

-A POSTROUTING -o eth0.7 -s 172.20.0.0/16 -j SNAT --to xx.xx.xx.128-xx.xx.xx.159 --persistent
 

И то, первое правило осталось с давних пор, что б клиенты на сайт/форум попадали под своими ИП а не после НАТа. Его можно  удалить, форум давно убит.

[vop]

1 hour ago, KaYot said:

И то, первое правило осталось с давних пор, что б клиенты на сайт/форум попадали под своими ИП а не после НАТа. Его можно  удалить, форум давно убит.

 

На биллинг, если он не внутри, лучше тоже без ната приходить. Ну, это ежели, биллинг придает этому значение.

[Dimkers]

3 часа назад, Baneff сказал:

Вы не в курсе, видимо, что такое нетграф. В качестве браса он никакой силы не имеет

Я в курсе что такое нетграф. Но в качестве браса - он до спины. Вы это так же подтвердили. Так собсно смысл мусолить его?

 

3 часа назад, KaYot сказал:

Он конечно человек-говно,

И я тебя люблю, псина

3 часа назад, Lynx100 сказал:

терминація на accel? ipoe ? q-in-q? 

Все да.

[Dimkers]

2 часа назад, KaYot сказал:

Вот конфиг моего боевого НАТ-бокса. Обслуживает ~10к серых абонентов))

# не НАТить доступ к серверу 

-A POSTROUTING -d xx.xxx.xx.3 -j RETURN

# НАТить статически серый пул в реальный рул

-A POSTROUTING -o eth0.7 -s 172.20.0.0/16 -j SNAT --to xx.xx.xx.128-xx.xx.xx.159 --persistent

Не чеши, барбос. Табличку коннтрака ты не увеличиваешь на 10к абонов то?

[911]

10 часов назад, Baneff сказал:

Вот и позвольте уж нам, бздунам старым пользоваться тем, к чему мы привыкли.

я думал точно так же до того момента, как где-то нашел набор скриптов для формирования правил tc под мой биллинг  а потом уже забил на tc и поставил ipt_ratelimit

[Чучундра]

Любителям померяться пиписьками советую обратить внимание что для полной коректности кроме графиков с трафиком и загрузкой процессора нужно еще показывать графики с количеством NAT трансляций, т.к. от их числа зависит производительность системы в целом.

[Dimkers]

http://joxi.ru/E2pKGM1Sa8awpm

 

это в додачу к ппосту

Пайдеть?

Відредаговано 21 лютого, 2020 Dimkers

[ramsess]

Пвайдеть. 

 

Не знаю какие у кого нарекания на фрю, но у меня nas с ipfw_nat и шейперами на старом как говно мамонтов supermicro . 2*X5680  3.3GHz на 2.5Г трафика грузит проц около  40%. Единственное что не нравится это отсутствие детализированой информации по текущим соединениям.

Відредаговано 21 лютого, 2020 ramsess

[bit]

Я помню, под PF работал NAT и я записывал по стейтам с какого серого ИПа были коннекты. И при большом желании, зная время и точный ИП обращения, можно было приблизительно указать на абонента. 

При разумном запросе от "киберзлочынцив" и решении суда честно отдавать.

Под линуксами есть варианты? 

 

 

[Baneff]

17 минут назад, bit сказал:

Я помню, под PF работал NAT и я записывал по стейтам с какого серого ИПа были коннекты. И при большом желании, зная время и точный ИП обращения, можно было приблизительно указать на абонента. 

При разумном запросе от "киберзлочынцив" и решении суда честно отдавать.

Под линуксами есть варианты? 

 

 

Честно отдавать "киберзлочынцям" приблизительного абонента? Это как? А в суде сможете приблизительно свидетельствовать потом? Ото адвокат будет рад.

"Киберзлочынци" уже понимают волшебное слово NAT, опыт-то растёт. Так что можно смело им писать, что не имеется технической возможности определить "злочинця".

[Baneff]

29 минут назад, ramsess сказал:

Не знаю какие у кого нарекания на фрю, но у меня nas с ipfw_nat и шейперами на старом как говно supermicro . 2*X5680  3.3GHz на 2.5Г трафика грузит проц около  40%. Единственное что не нравится это отсутствие детализированой информации по текущим соединениям.

Нарекание на фрю ровно одно и это то, что она протухла и линукс круче. Ещё в том, что кто-то вообще позволяет себе пользоваться чем-то, отличным от их любимого линукса, это совершенно непозволительно, оскорбительно для адептов секты линуксоводов и занижает их самооценку. Короче вопрос чисто религиозный, неверный должен быть наказан и обращён в истинную веру. А так-то да - работает.

 

А какой информации по текущим соединениям не хватает? Если есть шейпер, то есть и счётчики по каждому клиентскому IP адресу, можно снимать скриптом и анализировать кто сколько и когда намотал байтиков. Или о чём речь?

[ramsess]

Если у абона заведется вирусняк, троян, сканер портов/адресов и.т.п. то он легко может положить небольшим трафиком систему создав кучу фейковых коннектов. У ipfw_nat в этом плане не хватает ограничения на число трансляций (в идеале per src_ip, но для начала хватило бы и per pool) чтоб избежать подобной ситуации, и детальной информации про текущую  таблицу трансляций чтоб вычислить вредителя. В pf_nat это все есть.

Відредаговано 21 лютого, 2020 ramsess

[pashaumka]

ipfw - allow|deny/pipe

pf - nat 

 

Відредаговано 21 лютого, 2020 pashaumka

[Baneff]

12 минут назад, ramsess сказал:

Если у абона заведется вирусняк, троян, сканер портов/адресов и.т.п. то он легко может положить небольшим трафиком систему создав кучу фейковых коннектов. У ipfw_nat в этом плане не хватает ограничения на число трансляций (в идеале per src_ip, но для начала хватило бы и per pool) чтоб избежать подобной ситуации, и детальной информации про текущую  таблицу трансляций чтоб вычислить вредителя. В pf_nat это все есть.

Если очень хочется ограничить кол-во сессий на IP, то это делается динамическими правилами ipfw . Когда-то давно я с этим игрался ибо была озабоченность всякими виртуальными провайдерами, которые типа на домашнем тарифе раздают инет соседям. А так ограничил кол-во сессий и Вася-кот. Но потом успокоился и забил на это. Но работает, причём и на белых адресах, не только на серых. Да и от вирусняка не припомню давно чтобы кто-то сильно грузил.

18 минут назад, pashaumka сказал:

ipfw - allow|deny/pipe

pf - nat 

 

Оно конечно краткость - сестра таланта, но иногда бывает чересчур кратко. Что это должно было значить?

[Baneff]

В 20.02.2020 в 23:09, KaYot сказал:

На dpdk под линукс есть на наге очень интересный проект - the router.

Аналог accel-ppp полностью написанный под dpdk. Результаты ужасают, НАТ или BRAS в сборе на десктопных i5 получается 20+ Гбит.

Тупо сколько в шины/карты платформы влезет.

Посмотрел. Как только увидел, что проект не OpenSource и будет платным когда и если допилят, то дальше читать не стал. Проприетарщиной запахло, не наш метод.

Відредаговано 24 лютого, 2020 Baneff

[Baneff]

В 20.02.2020 в 23:05, KaYot сказал:

Потому что есть полностью аналогичный фришный dpdk под линукс. Все деньги/проекты/разработчики там..

Можете назвать пару-тройку уже реализованных удачных OpenSource беспалатных проектов с использованием dpdk ? The Router не канает.

 

[KaYot]

В 24.02.2020 в 14:54, Baneff сказал:

Можете назвать пару-тройку уже реализованных удачных OpenSource беспалатных проектов с использованием dpdk ? The Router не канает.

OpenSource не назову, не интересовался никогда. VPP разве что если жив еще.

А вот платных куча, тот же The router/Скат/RDP и еще пяток проектов маршрутизаторов-НАТ-фаерволов от россиян на НАГе можно почитать. Реально по 20 гиг на тазике за 300$ получается, будущее за ними. Даже accel начинили пару лет назад переписывать под dpdk, пока правда результата нет.

А вот таких же проектов но под netmap и фрю вообще не вспоминается.

[Baneff]

11 минут назад, KaYot сказал:

OpenSource не назову, не интересовался никогда. VPP разве что если жив еще.

А вот платных куча, тот же The router/Скат/RDP и еще пяток проектов маршрутизаторов-НАТ-фаерволов от россиян на НАГе можно почитать. Реально по 20 гиг на тазике за 300$ получается, будущее за ними. Даже accel начинили пару лет назад переписывать под dpdk, пока правда результата нет.

А вот таких же проектов но под netmap и фрю вообще не вспоминается.

Нам за деньги не надо, только большая и чистая любовь!

[911]

8 минут назад, Baneff сказал:

Нам за деньги не надо, только большая и чистая любовь!

Не, ну то такое, лучше поставить 5 тазиков по 800 баксов, чем 1 за 300 + лицензия