laffytaffy 84 Posted 2010-05-07 20:59:03 Share Posted 2010-05-07 20:59:03 имеем шлюз FreeBSD 7.2 + ipfw + ipnat С некоторого времени наблюдаются проблемы с ошибками на интерфейсе, проблема нашлась, уперлись в ограничение ipnat в 30к сессий, если даже включить опцию "LARGE_NAT" и пересобрать ядро, через некоторое время опять упремся в следующее ограничение (или его нет?) насколько понял это 180к сессий. Вообще интересно мнение, кто как натит или ограничивает пользователей, потому как с недавнего времени некоторые уникумы открывают от 5000 до 15000 соединений, ложа при этом шлюз... Link to post Share on other sites
Neelix 33 Posted 2010-05-08 06:58:43 Share Posted 2010-05-08 06:58:43 все правильно, по дефолту у тебя ограничение в 30 тысяч. /sys/contrib/ipfilter/netinet/ip_nat.h #define LARGE_NAT просто определив не поможет покажи ipnat -s ipf -T list | grep nattable вариант 1: сделай /usr/src/sys/modules/ipfilter && make clean make -DLARGE_NAT depend && make -DLARGE_NAT && make install вариант 2 в rc.conf: ipfilter_enable="YES" ipfilter_rules="/etc/ipf.rules" ipfilter_flags="-D -T ipf_nattable_sz=10009,ipf_nattable_max=300000 -E" ipnat_enable="YES" ipnat_rules="/etc/ipnat.rules" ipnat -l покажет правила и активные соединения или так, поменяв таймауты на tcp соединениях ipfilter_flags="-D -T ipf_nattable_sz=10009,ipf_nattable_max=300000,\ fr_tcptimeout=180,fr_tcpclosewait=60,fr_tcphalfclosed=7200,fr_tcpidletimeout=172800 -E" ограничения количества мапингов ipf -T list | grep rules_sz Link to post Share on other sites
911 140 Posted 2010-05-08 08:05:49 Share Posted 2010-05-08 08:05:49 ipfw nat вам в помощь Link to post Share on other sites
nightfly 1,250 Posted 2010-05-08 08:15:39 Share Posted 2010-05-08 08:15:39 911 + 1 ipfw nat - нормально в отличии от pfnat работает на smp системах и на данном этапе прожевывает по 400-500 мбит на каждой из натилок при 150-200 кппс без проблем. Link to post Share on other sites
Neelix 33 Posted 2010-05-08 09:40:09 Share Posted 2010-05-08 09:40:09 Зато наверняка ядро не зря пересобрал с дивертом и айпифайрволом ) Link to post Share on other sites
blackjack 250 Posted 2010-05-08 10:59:21 Share Posted 2010-05-08 10:59:21 911 + 1 ipfw nat - нормально в отличии от pfnat работает на smp системах и на данном этапе прожевывает по 400-500 мбит на каждой из натилок при 150-200 кппс без проблем. нука поподробней о железе на котором ядерный нат может прожевать 500мегабит Link to post Share on other sites
nightfly 1,250 Posted 2010-05-08 11:59:23 Share Posted 2010-05-08 11:59:23 Просвещайтесь чтоли: http://nag.ru/articles/article/17045/shape-nat-netflow-na-bolshih-setyah-chast-1.html А так железо - самые обычные ксеоны, с шиной 1.3 и нормальными сетевухами. Link to post Share on other sites
laffytaffy 84 Posted 2010-06-12 11:45:27 Author Share Posted 2010-06-12 11:45:27 встал вопрос, ограничивать деятелей которые подымают более 3000-5000 соединений ибо просто все ложится, кто как поступает в данной ситуации? Link to post Share on other sites
Neelix 33 Posted 2010-06-12 12:00:44 Share Posted 2010-06-12 12:00:44 встал вопрос, ограничивать деятелей которые подымают более 3000-5000 соединений ибо просто все ложится, кто как поступает в данной ситуации? сегментируют на разные роутеры Link to post Share on other sites
KaYot 3,731 Posted 2010-06-12 15:00:50 Share Posted 2010-06-12 15:00:50 Настройте НАТ-сервер так, что б не ложился от пары тысяч сессий юзера. Link to post Share on other sites
laffytaffy 84 Posted 2010-06-12 15:32:10 Author Share Posted 2010-06-12 15:32:10 Настройте НАТ-сервер так, что б не ложился от пары тысяч сессий юзера. подскажите, как настроить чтобы не валился от 15к сессий пользователя, в то время когда 300 создают максимум столько же... он и не ложится, просто упирается в ограничение в 30к.... Link to post Share on other sites
nightfly 1,250 Posted 2010-06-12 16:18:55 Share Posted 2010-06-12 16:18:55 ipfw nat смотрит на эти смешные ограничения как на г..но PS и в отличии от pf nat нормально работает с smp Link to post Share on other sites
laffytaffy 84 Posted 2010-06-12 17:00:31 Author Share Posted 2010-06-12 17:00:31 ipfw nat смотрит на эти смешные ограничения как на г..но PS и в отличии от pf nat нормально работает с smp понятно, выводы сделал.... Link to post Share on other sites
nightfly 1,250 Posted 2010-06-12 17:06:33 Share Posted 2010-06-12 17:06:33 Несколько лет назад тоже метался между балансировкой natd (как вспомню так даже стыдно), ipnat, pfnat, ng_nat - закончилось самым простым и элегантным. На более чем дохлом железе выдавить из ipfwnat 300-400 мбит и под 0.5М сессий можно без особых бубнов. Далее просто масштабирование по горизонтали. Link to post Share on other sites
laffytaffy 84 Posted 2010-06-12 17:25:05 Author Share Posted 2010-06-12 17:25:05 На более чем дохлом железе выдавить из ipfwnat 300-400 мбит и под 0.5М сессий примерчик железа того Link to post Share on other sites
Kto To 602 Posted 2010-06-12 17:27:25 Share Posted 2010-06-12 17:27:25 Настройте НАТ-сервер так, что б не ложился от пары тысяч сессий юзера. подскажите, как настроить чтобы не валился от 15к сессий пользователя, в то время когда 300 создают максимум столько же... он и не ложится, просто упирается в ограничение в 30к.... ограничение в 30к сессий чисто софтовое. а вообще действительно лучше использовать ipfw nat Link to post Share on other sites
Kucher2 122 Posted 2010-06-12 19:14:19 Share Posted 2010-06-12 19:14:19 http://local.com.ua/forum/topic/21031-tupjat-inet-stranichki/ Link to post Share on other sites
nightfly 1,250 Posted 2010-06-12 19:51:24 Share Posted 2010-06-12 19:51:24 На более чем дохлом железе выдавить из ipfwnat 300-400 мбит и под 0.5М сессий примерчик железа того типичный феном с широкой шиной, 4 гига опры, сетевухи em естественно. Почему Амд? А потому что amd64. ipfw nat жрет память только из доступной для ядра - для архитектуры i386 потолок 2 гига. Для amd64 - кажись до 6 гиг (с перспективкой так). В общем смотрите в vm.kmem_size и KVA_PAGES. Опять же натилка это натилка и никаких биллингов, нетфлоу сенсоров, шейперов, днысов, почт и прочей порноты там быть не должно. Собственно вот тут: http://nag.ru/articles/article/17045/shape-nat-netflow-na-bolshih-setyah-chast-1.html люди разгоняються и до 700 мбит на хост но на квадовых ксеонах и подозреваю яндеховских дровах. Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now