morfey 82 Опубликовано: 2011-08-02 21:22:20 Share Опубликовано: 2011-08-02 21:22:20 Freebsd 8.0-STABLE Перед натом работает, за натом, работает все кроме яндекса(. По тспдампу яндекс шлет пакеты длиной в mss 1410, непонятно. И траса на яндекс через нат не проходит. Фаервол отключен, натит ipnat. bar-navig.yandex.ru.http > xx.xx.206.10.4701: Flags [s.], cksum 0x29b5 (correct), seq 1077623366, ack 3513417664, win 65535, options [mss 1410,sackOK,eol], length 0 Где грабли? Ссылка на сообщение Поделиться на других сайтах
Kto To 602 Опубліковано: 2011-08-03 04:36:14 Share Опубліковано: 2011-08-03 04:36:14 сменить нат пробовали? Ссылка на сообщение Поделиться на других сайтах
adeep 212 Опубліковано: 2011-08-03 05:01:13 Share Опубліковано: 2011-08-03 05:01:13 ipnat? извращенцы. Ссылка на сообщение Поделиться на других сайтах
Mechanik 49 Опубліковано: 2011-08-03 06:14:08 Share Опубліковано: 2011-08-03 06:14:08 почему извращение?! отлично работает а Вы в Ipnat по eth попадаете или через mpd (pptp ppoe) ? Ранее требовалось использовать дополнительно tcpmss. Но в mpd это вкл через опцию. Ссылка на сообщение Поделиться на других сайтах
morfey 82 Опубліковано: 2011-08-03 06:59:19 Автор Share Опубліковано: 2011-08-03 06:59:19 Хочу сменить на ядерный нат, но пока руки не доходят. А работает как сказали выше, отлично. ipnat>eth P.S. И еще некоторые сервера кроме яндекса за натом не работают, слишком умные наверное) Ссылка на сообщение Поделиться на других сайтах
Kucher2 122 Опубліковано: 2011-08-03 07:54:00 Share Опубліковано: 2011-08-03 07:54:00 Перейдите на ядерный нат, не пожалейте времени. В 8-ой ветке его наконец-то "добили". Сам когда-то мучался, не мог VPN нормально пробросить через шлюз. Много траблов и непонятностей ушло после этого, включая потерю пакетов и скачущие пинги. Ссылка на сообщение Поделиться на других сайтах
morfey 82 Опубліковано: 2011-08-03 12:16:46 Автор Share Опубліковано: 2011-08-03 12:16:46 Так наверное и сделаю, потом отпишусь Ссылка на сообщение Поделиться на других сайтах
KaYot 3 681 Опубліковано: 2011-08-03 13:25:57 Share Опубліковано: 2011-08-03 13:25:57 А НАТ как работает сейчас? Всякие гугли и яндексы не любят постоянной смены IP, если НАТ сделан в диапазон адресов может быть такая беда. В принципе такого никто не любит.. Ссылка на сообщение Поделиться на других сайтах
morfey 82 Опубліковано: 2011-08-03 14:47:46 Автор Share Опубліковано: 2011-08-03 14:47:46 А НАТ как работает сейчас? Всякие гугли и яндексы не любят постоянной смены IP, если НАТ сделан в диапазон адресов может быть такая беда. В принципе такого никто не любит.. На каждую подсеть своя ип. 12 подсетей Ссылка на сообщение Поделиться на других сайтах
morfey 82 Опубліковано: 2011-08-04 00:26:17 Автор Share Опубліковано: 2011-08-04 00:26:17 Ура товарищи. Ядерный НАТ рулит Ссылка на сообщение Поделиться на других сайтах
natiss 16 Опубліковано: 2011-08-06 11:44:22 Share Опубліковано: 2011-08-06 11:44:22 Я дико извиняюсь, ipnat это что юзерлевел уже? Отсыпте, а! Интересно, что же такое "ядерный нат". Просветите. Ссылка на сообщение Поделиться на других сайтах
morfey 82 Опубліковано: 2011-08-07 19:14:03 Автор Share Опубліковано: 2011-08-07 19:14:03 Я дико извиняюсь, ipnat это что юзерлевел уже? Отсыпте, а! Ну ипнат на 7.0 и 8.0 фре я патчил, ибо он валился в корку при определенном количестве сессий. Что за себя уже говорит. Гдето описывал на форуме ту проблему и решение. Интересно, что же такое "ядерный нат". Просветите. Это options IPFIREWALL_NAT, IPFW NAT. Погуглите, он ест меньше памяти и процессорного времени, при одинаковых нагрузках. По моим наблюдениям, раза так в 3-4 грубо говоря. Точных замеров не проводил. P.S. И кстати, дело не в нате было (и есть). Чтото не так с моим блоком ип, не резолвятся чтото для некоторых хостов... Ссылка на сообщение Поделиться на других сайтах
natiss 16 Опубліковано: 2011-08-07 19:54:16 Share Опубліковано: 2011-08-07 19:54:16 Опана. А айпинат все-таки юзердевел, да? NAME ipnat - user interface to the NAT subsystem SYNOPSIS ipnat [ -dhlnrsvCF ] [ -M core ] [ -N system ] -f <filename> DESCRIPTION ipnat opens the filename given (treating "-" as stdin) and parses the file for a set of rules which are to be added or removed from the IP NAT. Each rule processed by ipnat is added to the kernels internal lists if there are no parsing problems. Rules are added to the end of the internal lists, matching the order in which they appear when given to ipnat. Note that if ipf(8) is not enabled when NAT is configured, it will be enabled automatically, as the same kernel facilities are used for NAT functionality. In addition, packet forwarding must be enabled. Наверно разработчики не в теме... Чтобы Вы понимали, в ipfw nat есть точно такое же ограничение,и для его преодолени янадо менять константу в исходниках ядра и пересобирать его. А мой Вас совет, сразу используйте pf. Ссылка на сообщение Поделиться на других сайтах
morfey 82 Опубліковано: 2011-08-07 19:59:52 Автор Share Опубліковано: 2011-08-07 19:59:52 Наверно разработчики не в теме... Чтобы Вы понимали, в ipfw nat есть точно такое же ограничение,и для его преодолени янадо менять константу в исходниках ядра и пересобирать его. А мой Вас совет, сразу используйте pf. Чтобы Вы понимали, цыфры далеко не достигали 30000 (IPNAT DEFAULT), и при этом он падал в кору. Тут вот http://www.freebsd.org/cgi/query-pr.cgi?pr=131601. Ядерный нат - ибо по-другому его нельзя назвать, чтобы не вызвать ассоциации других натов. Ссылка на сообщение Поделиться на других сайтах
natiss 16 Опубліковано: 2011-08-07 20:51:22 Share Опубліковано: 2011-08-07 20:51:22 Вы бредите, как говорит Дима. Единственный user-level NAT в FreeBSD это демон natd. PF, IPFILTER,IPFW, NG_NAT - все они на уровне ядра. Производительность у всех примерно одинакова. Если Вы не достигли #define NAT_BUF_LEN 1024 то у Вас и ipnat будет работать. У Вас всё еще впереди. Вот как будет у Вас 40 000 сесиий, тогда и расскажете про ipfw_nat Ссылка на сообщение Поделиться на других сайтах
morfey 82 Опубліковано: 2011-08-07 21:40:08 Автор Share Опубліковано: 2011-08-07 21:40:08 Вы бредите, как говорит Дима. Единственный user-level NAT в FreeBSD это демон natd. PF, IPFILTER,IPFW, NG_NAT - все они на уровне ядра. Производительность у всех примерно одинакова. А я Вам о чем? Если Вы не достигли #define NAT_BUF_LEN 1024 то у Вас и ipnat будет работать. У Вас всё еще впереди. Вот как будет у Вас 40 000 сесиий, тогда и расскажете про ipfw_nat Ну во-первых, Вы тему читали? Во-вторых ipnat и работал, на нем было около 30к-35к. Что Вам расказать? Не нашли больше тем пофлудить? Ссылка на сообщение Поделиться на других сайтах
natiss 16 Опубліковано: 2011-08-08 08:21:20 Share Опубліковано: 2011-08-08 08:21:20 Ну так если ipnat работал, что не так? Чем ipfw_nat в отмороженным синтаксисом и нулевой гибкостью лучше ipfilter? Против того, что ipnat тоже на уровне ядра уже возражений нет? Ссылка на сообщение Поделиться на других сайтах
morfey 82 Опубліковано: 2011-08-08 15:53:47 Автор Share Опубліковано: 2011-08-08 15:53:47 Ну так если ipnat работал, что не так? Тему читали? Чем ipfw_nat в отмороженным синтаксисом и нулевой гибкостью лучше ipfilter? На вкус и цвет... Против того, что ipnat тоже на уровне ядра уже возражений нет? Я этого даже нигде не упоминал. P.S. Вы пришли так, пофлудить? Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас