Перейти до

ipnat или что вы используете для ната?

laffytaffy

Автор: laffytaffy,
в Софт

 Share Подписчики 0

Рекомендованные сообщения

laffytaffy

laffytaffy 84

Опубликовано:
Опубликовано:

имеем шлюз FreeBSD 7.2 + ipfw + ipnat

 

С некоторого времени наблюдаются проблемы с ошибками на интерфейсе, проблема нашлась, уперлись в ограничение ipnat в 30к сессий, если даже включить опцию "LARGE_NAT" и пересобрать ядро, через некоторое время опять упремся в следующее ограничение (или его нет?) насколько понял это 180к сессий. Вообще интересно мнение, кто как натит или ограничивает пользователей, потому как с недавнего времени некоторые уникумы открывают от 5000 до 15000 соединений, ложа при этом шлюз...

Ссылка на сообщение
Поделиться на других сайтах
Neelix

Neelix 33

Опубліковано:
Опубліковано:

все правильно, по дефолту у тебя ограничение в 30 тысяч.

/sys/contrib/ipfilter/netinet/ip_nat.h

#define LARGE_NAT

просто определив не поможет

 

покажи

ipnat -s

ipf -T list | grep nattable

 

вариант 1:

сделай /usr/src/sys/modules/ipfilter && make clean

make -DLARGE_NAT depend && make -DLARGE_NAT && make install

 

вариант 2 в rc.conf:

 

ipfilter_enable="YES"

ipfilter_rules="/etc/ipf.rules"

ipfilter_flags="-D -T ipf_nattable_sz=10009,ipf_nattable_max=300000 -E"

ipnat_enable="YES"

ipnat_rules="/etc/ipnat.rules"

 

ipnat -l покажет правила и активные соединения

 

или так, поменяв таймауты на tcp соединениях

ipfilter_flags="-D -T ipf_nattable_sz=10009,ipf_nattable_max=300000,\ fr_tcptimeout=180,fr_tcpclosewait=60,fr_tcphalfclosed=7200,fr_tcpidletimeout=172800 -E"

 

ограничения количества мапингов

 

ipf -T list | grep rules_sz

Ссылка на сообщение
Поделиться на других сайтах
nightfly

nightfly 1 241

Опубліковано:
Опубліковано:

911

 

+ 1

ipfw nat - нормально в отличии от pfnat работает на smp системах и на данном этапе прожевывает по 400-500 мбит на каждой из натилок при 150-200 кппс без проблем.

Ссылка на сообщение
Поделиться на других сайтах
blackjack

blackjack 250

Опубліковано:
Опубліковано:

911

 

+ 1

ipfw nat - нормально в отличии от pfnat работает на smp системах и на данном этапе прожевывает по 400-500 мбит на каждой из натилок при 150-200 кппс без проблем.

нука поподробней о железе на котором ядерный нат может прожевать 500мегабит

Ссылка на сообщение
Поделиться на других сайтах
nightfly

nightfly 1 241

Опубліковано:
Опубліковано:

Просвещайтесь чтоли: http://nag.ru/articles/article/17045/shape-nat-netflow-na-bolshih-setyah-chast-1.html

 

А так железо - самые обычные ксеоны, с шиной 1.3 и нормальными сетевухами.

Ссылка на сообщение
Поделиться на других сайтах
  • 1 month later...
laffytaffy

laffytaffy 84

Опубліковано:
  • Автор
Опубліковано:

встал вопрос, ограничивать деятелей которые подымают более 3000-5000 соединений ибо просто все ложится, кто как поступает в данной ситуации?

Ссылка на сообщение
Поделиться на других сайтах
Neelix

Neelix 33

Опубліковано:
Опубліковано:

встал вопрос, ограничивать деятелей которые подымают более 3000-5000 соединений ибо просто все ложится, кто как поступает в данной ситуации?

сегментируют на разные роутеры

Ссылка на сообщение
Поделиться на других сайтах
laffytaffy

laffytaffy 84

Опубліковано:
  • Автор
Опубліковано:

Настройте НАТ-сервер так, что б не ложился от пары тысяч сессий юзера.

 

подскажите, как настроить чтобы не валился от 15к сессий пользователя, в то время когда 300 создают максимум столько же...

 

он и не ложится, просто упирается в ограничение в 30к....

Ссылка на сообщение
Поделиться на других сайтах
laffytaffy

laffytaffy 84

Опубліковано:
  • Автор
Опубліковано:

ipfw nat смотрит на эти смешные ограничения как на г..но :)

 

PS и в отличии от pf nat нормально работает с smp

 

понятно, выводы сделал....

Ссылка на сообщение
Поделиться на других сайтах
nightfly

nightfly 1 241

Опубліковано:
Опубліковано:

Несколько лет назад тоже метался между балансировкой natd (как вспомню так даже стыдно), ipnat, pfnat, ng_nat - закончилось самым простым и элегантным. На более чем дохлом железе выдавить из ipfwnat 300-400 мбит и под 0.5М сессий можно без особых бубнов. Далее просто масштабирование по горизонтали.

Ссылка на сообщение
Поделиться на других сайтах
Kto To

Kto To 602

Опубліковано:
Опубліковано:

Настройте НАТ-сервер так, что б не ложился от пары тысяч сессий юзера.

 

подскажите, как настроить чтобы не валился от 15к сессий пользователя, в то время когда 300 создают максимум столько же...

 

он и не ложится, просто упирается в ограничение в 30к....

ограничение в 30к сессий чисто софтовое.

а вообще действительно лучше использовать ipfw nat

Ссылка на сообщение
Поделиться на других сайтах
nightfly

nightfly 1 241

Опубліковано:
Опубліковано:

На более чем дохлом железе выдавить из ipfwnat 300-400 мбит и под 0.5М сессий

 

примерчик железа :) того

типичный феном с широкой шиной, 4 гига опры, сетевухи em естественно. Почему Амд? А потому что amd64. ipfw nat жрет память только из доступной для ядра - для архитектуры i386 потолок 2 гига. Для amd64 - кажись до 6 гиг (с перспективкой так). В общем смотрите в vm.kmem_size и KVA_PAGES. Опять же натилка это натилка и никаких биллингов, нетфлоу сенсоров, шейперов, днысов, почт и прочей порноты там быть не должно. Собственно вот тут: http://nag.ru/articles/article/17045/shape-nat-netflow-na-bolshih-setyah-chast-1.html люди разгоняються и до 700 мбит на хост но на квадовых ксеонах и подозреваю яндеховских дровах.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
 Share
Подписчики 0
Перейти до переліку тем

  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...