morfey 82 Posted 2011-08-02 21:22:20 Share Posted 2011-08-02 21:22:20 Freebsd 8.0-STABLE Перед натом работает, за натом, работает все кроме яндекса(. По тспдампу яндекс шлет пакеты длиной в mss 1410, непонятно. И траса на яндекс через нат не проходит. Фаервол отключен, натит ipnat. bar-navig.yandex.ru.http > xx.xx.206.10.4701: Flags [s.], cksum 0x29b5 (correct), seq 1077623366, ack 3513417664, win 65535, options [mss 1410,sackOK,eol], length 0 Где грабли? Link to post Share on other sites
Kto To 602 Posted 2011-08-03 04:36:14 Share Posted 2011-08-03 04:36:14 сменить нат пробовали? Link to post Share on other sites
adeep 212 Posted 2011-08-03 05:01:13 Share Posted 2011-08-03 05:01:13 ipnat? извращенцы. Link to post Share on other sites
Mechanik 49 Posted 2011-08-03 06:14:08 Share Posted 2011-08-03 06:14:08 почему извращение?! отлично работает а Вы в Ipnat по eth попадаете или через mpd (pptp ppoe) ? Ранее требовалось использовать дополнительно tcpmss. Но в mpd это вкл через опцию. Link to post Share on other sites
morfey 82 Posted 2011-08-03 06:59:19 Author Share Posted 2011-08-03 06:59:19 Хочу сменить на ядерный нат, но пока руки не доходят. А работает как сказали выше, отлично. ipnat>eth P.S. И еще некоторые сервера кроме яндекса за натом не работают, слишком умные наверное) Link to post Share on other sites
Kucher2 122 Posted 2011-08-03 07:54:00 Share Posted 2011-08-03 07:54:00 Перейдите на ядерный нат, не пожалейте времени. В 8-ой ветке его наконец-то "добили". Сам когда-то мучался, не мог VPN нормально пробросить через шлюз. Много траблов и непонятностей ушло после этого, включая потерю пакетов и скачущие пинги. Link to post Share on other sites
morfey 82 Posted 2011-08-03 12:16:46 Author Share Posted 2011-08-03 12:16:46 Так наверное и сделаю, потом отпишусь Link to post Share on other sites
KaYot 3,732 Posted 2011-08-03 13:25:57 Share Posted 2011-08-03 13:25:57 А НАТ как работает сейчас? Всякие гугли и яндексы не любят постоянной смены IP, если НАТ сделан в диапазон адресов может быть такая беда. В принципе такого никто не любит.. Link to post Share on other sites
morfey 82 Posted 2011-08-03 14:47:46 Author Share Posted 2011-08-03 14:47:46 А НАТ как работает сейчас? Всякие гугли и яндексы не любят постоянной смены IP, если НАТ сделан в диапазон адресов может быть такая беда. В принципе такого никто не любит.. На каждую подсеть своя ип. 12 подсетей Link to post Share on other sites
morfey 82 Posted 2011-08-04 00:26:17 Author Share Posted 2011-08-04 00:26:17 Ура товарищи. Ядерный НАТ рулит Link to post Share on other sites
natiss 16 Posted 2011-08-06 11:44:22 Share Posted 2011-08-06 11:44:22 Я дико извиняюсь, ipnat это что юзерлевел уже? Отсыпте, а! Интересно, что же такое "ядерный нат". Просветите. Link to post Share on other sites
morfey 82 Posted 2011-08-07 19:14:03 Author Share Posted 2011-08-07 19:14:03 Я дико извиняюсь, ipnat это что юзерлевел уже? Отсыпте, а! Ну ипнат на 7.0 и 8.0 фре я патчил, ибо он валился в корку при определенном количестве сессий. Что за себя уже говорит. Гдето описывал на форуме ту проблему и решение. Интересно, что же такое "ядерный нат". Просветите. Это options IPFIREWALL_NAT, IPFW NAT. Погуглите, он ест меньше памяти и процессорного времени, при одинаковых нагрузках. По моим наблюдениям, раза так в 3-4 грубо говоря. Точных замеров не проводил. P.S. И кстати, дело не в нате было (и есть). Чтото не так с моим блоком ип, не резолвятся чтото для некоторых хостов... Link to post Share on other sites
natiss 16 Posted 2011-08-07 19:54:16 Share Posted 2011-08-07 19:54:16 Опана. А айпинат все-таки юзердевел, да? NAME ipnat - user interface to the NAT subsystem SYNOPSIS ipnat [ -dhlnrsvCF ] [ -M core ] [ -N system ] -f <filename> DESCRIPTION ipnat opens the filename given (treating "-" as stdin) and parses the file for a set of rules which are to be added or removed from the IP NAT. Each rule processed by ipnat is added to the kernels internal lists if there are no parsing problems. Rules are added to the end of the internal lists, matching the order in which they appear when given to ipnat. Note that if ipf(8) is not enabled when NAT is configured, it will be enabled automatically, as the same kernel facilities are used for NAT functionality. In addition, packet forwarding must be enabled. Наверно разработчики не в теме... Чтобы Вы понимали, в ipfw nat есть точно такое же ограничение,и для его преодолени янадо менять константу в исходниках ядра и пересобирать его. А мой Вас совет, сразу используйте pf. Link to post Share on other sites
morfey 82 Posted 2011-08-07 19:59:52 Author Share Posted 2011-08-07 19:59:52 Наверно разработчики не в теме... Чтобы Вы понимали, в ipfw nat есть точно такое же ограничение,и для его преодолени янадо менять константу в исходниках ядра и пересобирать его. А мой Вас совет, сразу используйте pf. Чтобы Вы понимали, цыфры далеко не достигали 30000 (IPNAT DEFAULT), и при этом он падал в кору. Тут вот http://www.freebsd.org/cgi/query-pr.cgi?pr=131601. Ядерный нат - ибо по-другому его нельзя назвать, чтобы не вызвать ассоциации других натов. Link to post Share on other sites
natiss 16 Posted 2011-08-07 20:51:22 Share Posted 2011-08-07 20:51:22 Вы бредите, как говорит Дима. Единственный user-level NAT в FreeBSD это демон natd. PF, IPFILTER,IPFW, NG_NAT - все они на уровне ядра. Производительность у всех примерно одинакова. Если Вы не достигли #define NAT_BUF_LEN 1024 то у Вас и ipnat будет работать. У Вас всё еще впереди. Вот как будет у Вас 40 000 сесиий, тогда и расскажете про ipfw_nat Link to post Share on other sites
morfey 82 Posted 2011-08-07 21:40:08 Author Share Posted 2011-08-07 21:40:08 Вы бредите, как говорит Дима. Единственный user-level NAT в FreeBSD это демон natd. PF, IPFILTER,IPFW, NG_NAT - все они на уровне ядра. Производительность у всех примерно одинакова. А я Вам о чем? Если Вы не достигли #define NAT_BUF_LEN 1024 то у Вас и ipnat будет работать. У Вас всё еще впереди. Вот как будет у Вас 40 000 сесиий, тогда и расскажете про ipfw_nat Ну во-первых, Вы тему читали? Во-вторых ipnat и работал, на нем было около 30к-35к. Что Вам расказать? Не нашли больше тем пофлудить? Link to post Share on other sites
natiss 16 Posted 2011-08-08 08:21:20 Share Posted 2011-08-08 08:21:20 Ну так если ipnat работал, что не так? Чем ipfw_nat в отмороженным синтаксисом и нулевой гибкостью лучше ipfilter? Против того, что ipnat тоже на уровне ядра уже возражений нет? Link to post Share on other sites
morfey 82 Posted 2011-08-08 15:53:47 Author Share Posted 2011-08-08 15:53:47 Ну так если ipnat работал, что не так? Тему читали? Чем ipfw_nat в отмороженным синтаксисом и нулевой гибкостью лучше ipfilter? На вкус и цвет... Против того, что ipnat тоже на уровне ядра уже возражений нет? Я этого даже нигде не упоминал. P.S. Вы пришли так, пофлудить? Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now