Перейти к содержимому
Local
Небесный

Stargazer+NAS(rscriptd) - тормоза в видеотрафе.

Рекомендованные сообщения

После разделения сервера(биллинг и роутер был в одном) на биллинг и НАС - начались тормоза с видеотрафиком, в частности особо заметно на ютубе, при скорости у абонента 60 мегабит - практически не идет кеширование видео. Провайдер отмазывается, что у них все в порядке! Да и все это случилось именно после переезда. Склоняюсь больше всего, что где-то что-то не так настроил. Посему прошу помощи в поиске проблемы.

 

Вопрос конечно не совсем касается старгейзера, но где спрашивать, как не здесь, где народ полностью поймет схему работы прохождения трафика.

Вопрос наверное будет больше касаться NASa, ибо к работе rscriptd и старгейзера притензий не имеется.

 

NAS организован на FreeBSD 11.

 

 

 

rc.conf

hostname="NAS1"
ifconfig_em1="inet xxx.xxx.xxx.xxx netmask 255.255.255.252"
ifconfig_em0="inet 10.10.100.150 netmask 255.255.252.0"
defaultrouter="xxx.xxx.xxx.xxx"


sshd_enable="YES"
ntpd_enable="YES"
ntpdate_enable="YES"


gateway_enable="YES"
firewall_enable="YES"
#firewall_nat_enable="YES"
dummynet_enable="YES"
firewall_type="/etc/firewall"


fprobe_enable="YES"
snmpd_enable="YES"


# Packet Filter Firewall
pf_enable="YES"


# Set dumpdev to "AUTO" to enable crash dumps, "NO" to disable
dumpdev="AUTO"




static_routes="1 2 3 4 5"
route_1="-net 192.168.0.0/24 10.10.100.10"
route_2="-net 10.0.0.0/8 10.10.100.10"
route_3="-net xxx.xxx.xxx.xxx/32 10.10.100.10"
route_4="-net xxx.xxx.xxx.xxx/26 10.10.100.10"
route_5="-net xxx.xxx.xxx.xxx/29 10.10.100.10"
 

 

 

ipfw

xxx.xxx.xxx.xxx - ip внешнего интерфейса
00100        13649        19999075 deny icmp from any to any frag
12000  36976684974  11198687380947 pipe tablearg ip from table(3) to any via em0 in
12001  55668291563  68971875223135 pipe tablearg ip from any to table(4) via em0 out
12101  75463671679  22634560064207 allow ip from table(11) to any
12201 112883242003 139603943819662 allow ip from any to table(11)
12301    130494872     14169851114 allow udp from any 53 to any
12401     11167974       737283427 allow udp from any to any dst-port 53
12501         4536         1108428 allow ip from any to any via lo0
12601            0               0 deny ip from any to 127.0.0.0/8
12701           21            1428 deny ip from 127.0.0.0/8 to any
12801   1051978958     79394861044 allow tcp from any to any established
12901      6926644       515696409 allow ip from xxx.xxx.xxx.xxx to any out xmit em1
13001      2521476       195901945 allow icmp from any to any via em0
13101     96573842      7276797694 allow icmp from any to any via em1
13201    203101654    218537374608 allow ip from table(2) to me
13301     20892190     30905771080 allow ip from me to table(2)
13401            0               0 allow tcp from any to any established
13501            0               0 allow ip from xxx.xxx.xxx.xxx to any out xmit em1
13601         6384          380752 allow ip from table(12) to 10.10.100.2 dst-port 443
65535   1399015004     93280645970 deny ip from any to any

sysctl

net.inet.ip.fw.one_pass=0
net.inet.tcp.maxtcptw=40960
kern.ipc.somaxconn=32768
#kern.ipc.nmbclusters=65536
net.inet.tcp.nolocaltimewait=1
net.inet.ip.portrange.randomized=0

# custom NAS config
net.inet.ip.forwarding=1
net.inet.ip.dummynet.io_fast=1
net.inet.ip.dummynet.pipe_slot_limit=2048
net.inet.ip.dummynet.hash_size=2048

#hardcore
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
net.inet.icmp.drop_redirect=1
net.inet.icmp.log_redirect=0
net.inet.ip.redirect=0
net.inet.ip.sourceroute=0
net.inet.ip.accept_sourceroute=0
net.inet.icmp.bmcastecho=0
net.inet.icmp.maskrepl=0
net.inet.tcp.drop_synfin=1
net.inet.tcp.syncookies=1

OnConnect

#! /bin/sh

# Login
LOGIN=$1

#user IP
IP=$2

#user ID
ID=$3

TARIFF=$4
SPEED=`sh /etc/rscriptd/functions/getspeed.sh $TARIFF`
SCOUNT="Kbit"

IPFW_ID1=`expr $ID + 101`;
IPFW_ID2=`expr $ID + 18101`;

/sbin/ipfw table 11 add $IP

/sbin/ipfw pipe $IPFW_ID1 config bw $SPEED$SCOUNT queue 32Kbytes
/sbin/ipfw pipe $IPFW_ID2 config bw $SPEED$SCOUNT queue 32Kbytes

ipfw table 3 add $IP $IPFW_ID1
ipfw table 4 add $IP $IPFW_ID2


touch /etc/rscriptd/online_users/$LOGIN
echo "$IPFW_ID1 $IPFW_ID2 $TARIFF" > /etc/rscriptd/online_users/$LOGIN

OnDisconect

#! /bin/sh

# Login
LOGIN=$1

#user IP
IP=$2

#user ID
ID=$3

IPFW_ID1=`expr $ID + 101`;
IPFW_ID2=`expr $ID + 18101`;

/sbin/ipfw table 11 delete $IP

/sbin/ipfw pipe $IPFW_ID1 delete
/sbin/ipfw pipe $IPFW_ID2 delete

ipfw table 3 delete $IP
ipfw table 4 delete $IP

rm -f /etc/rscriptd/online_users/$LOGIN

Сетевые карты em0 - локалка, em1 - внешняя.

em0@pci0:6:0:0: class=0x020000 card=0x10828086 chip=0x107d8086 rev=0x06 hdr=0x00
    vendor     = 'Intel Corporation'
    device     = '82572EI Gigabit Ethernet Controller (Copper)'
    class      = network
    subclass   = ethernet
em1@pci0:7:0:0: class=0x020000 card=0x10828086 chip=0x107d8086 rev=0x06 hdr=0x00
    vendor     = 'Intel Corporation'
    device     = '82572EI Gigabit Ethernet Controller (Copper)'
    class      = network
    subclass   = ethernet
root@NAS1:~ # netstat -i
Name    Mtu Network       Address              Ipkts Ierrs Idrop    Opkts Oerrs  Coll
igb0*  1500 <Link#1>      0c:c4:7a:80:38:e1        0     0     0        0     0     0
em0    1500 <Link#2>      68:05:ca:10:1e:c4 38022560939  4332     0 56374208541     0     0
em0       - 10.10.100.0/2 10.10.100.150     203380104     -     - 22601393     -     -
em1    1500 <Link#3>      00:1b:21:82:29:ae 58795103331     0     0 38127553778     0     0
em1       - xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx      121124     -     -  4549355     -     -
em2*   1500 <Link#4>      0c:c4:7a:80:38:e0        0     0     0        0     0     0
lo0   16384 <Link#5>      lo0                   2283     0     0     2283     0     0
lo0       - localhost     localhost                0     -     -        0     -     -
lo0       - fe80::%lo0/64 fe80::1%lo0              0     -     -        0     -     -
lo0       - your-net      localhost             2230     -     -     2283     -     -
root@NAS1:~ # ifconfig
igb0: flags=8c02<BROADCAST,OACTIVE,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=6403bb<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,TSO4,TSO6,VLAN_HWTSO,RXCSUM_IPV6,TXCSUM_IPV6>
        ether 0c:c4:7a:80:38:e1
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect
        status: no carrier
em0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=4019b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,VLAN_HWTSO>
        ether 68:05:ca:10:1e:c4
        inet 10.10.100.150 netmask 0xfffffc00 broadcast 10.10.103.255
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
em1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=4019b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,VLAN_HWTSO>
        ether 00:1b:21:82:29:ae
        inet xxx.xxx.xxx.xxx netmask 0xfffffffc broadcast xxx.xxx.xxx.xxx
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
em2: flags=8c02<BROADCAST,OACTIVE,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=4019b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,VLAN_HWTSO>
        ether 0c:c4:7a:80:38:e0
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect
        status: no carrier
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
        inet6 ::1 prefixlen 128
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x5
        inet 127.0.0.1 netmask 0xff000000
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
        groups: lo

Системные данные

root@NAS1:~ # sysctl hw.model hw.machine hw.ncpu
hw.model: Intel(R) Xeon(R) CPU E3-1220 v5 @ 3.00GHz
hw.machine: amd64
hw.ncpu: 4


root@NAS1:~ # sysctl -a | grep "hw.*mem"
hw.physmem: 34130026496
hw.usermem: 32959590400
hw.realmem: 34359738368
hw.pci.host_mem_start: 2147483648
hw.cbb.start_memory: 2281701376
 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Забыл еще добавить трафик по вечерах в основном в районе 500 мегабит, иногда бывает до 600 пригает. Полки вечером по трафику нету. Да и тормоза наблюдаются не зависимо от времени суток и нагрузки на канал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

DNS сервера какие?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

DNS - на базе линукса кеширующий. Но, я не думаю, что ДНС будет учавствовать в кешировании видео при онлайн просмотре.

 

named.conf.options

options {
    directory "/var/cache/bind";
    version "Nax tebe moya versiya?";
    dump-file "/var/log/named_dump";
    statistics-file "/var/log/named.stat";
    allow-query {any;};
    allow-transfer {any;};
    max-cache-size 128M;
listen-on port 53 { 10.0.0.0/8; xxx.xxx.xxx.xxx/24; 192.168.0.0/21; 127.0.0.1; };
 
forwarders { 8.8.8.8;};
    query-source address * port 53;
    auth-nxdomain no;    # conform to RFC1035
};
 
logging {
 
    channel default_log {
        file "/etc/bind/logs/named.default" versions 5 size 50m;
        severity dynamic;
        print-time yes;
        print-category yes;
        print-severity yes;
    };
#
    channel dnssec_log {
        file "/etc/bind/logs/dnssec.log" versions 5 size 50m;
        print-time yes;
        print-category yes;
        print-severity yes;
        severity debug 2;
    };
#
    channel security_log {
        file "/etc/bind/logs/security.log" versions 5 size 50m;
        print-time yes;
        print-category yes;
        print-severity yes;
    };
#
    channel config_log {
        file "/etc/bind/logs/config.log" versions 5 size 50m;
        print-time yes;
        print-category yes;
        print-severity yes;
    };
#
    channel transfers_log {
        file "/etc/bind/logs/transfers.log" versions 5 size 50m;
        print-time yes;
        print-category yes;
        print-severity yes;
    };
#
    channel lame_log {
        file "/etc/bind/logs/lame.log" versions 5 size 50m;
        print-time yes;
        print-category yes;
        print-severity yes;
    };
    category dnssec {
        dnssec_log;
    };
#
    category security {
        security_log;
    };
#
    category config {
        config_log;
    };
#
    category xfer-in {
        transfers_log;
    };
#
    category xfer-out {
        transfers_log;
    };
#
    category lame-servers {
        lame_log;
    };
#
    category default {
        default_log;
    };
};
 
 
key "rndc-key" {
        algorithm hmac-md5;
        secret "06x4wJKMmRxkgRnUYqcr4w==";
};
 
controls {
    inet 127.0.0.1 port 953
    allow { 127.0.0.1;} keys { "rndc-key"; };
          };
 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Еще по поводу NAT - организован на базе pf

 

pf.conf

set limit states 500000
set optimization aggressive


nat on em1 from 10.10.100.0/24 to any -> xxx.xxx.xxx.xxx
nat on em1 from 192.168.0.0/24 to any -> xxx.xxx.xxx.xxx
nat on em1 from 10.10.0.0/24 to any -> xxx.xxx.xxx.xxx
nat on em1 from 10.10.1.0/24 to any -> xxx.xxx.xxx.xxx
nat on em1 from 10.100.0.0/22 to any -> xxx.xxx.xxx.xxx
nat on em1 from 10.102.0.0/22 to any -> xxx.xxx.xxx.xxx
nat on em1 from 10.104.0.0/22 to any -> xxx.xxx.xxx.xxx
nat on em1 from 10.200.0.0/22 to any ->xxx.xxx.xxx.xxx
nat on em1 from 10.10.50.0/22 to any -> xxx.xxx.xxx.xxx
nat on em1 from 10.10.24.0/22 to any -> xxx.xxx.xxx.xxx


nat on em1 from 10.10.24.110/32 to any -> xxx.xxx.xxx.xxx
nat on em1 from 10.70.0.0/24 to any -> xxx.xxx.xxx.xxx
nat on em1 from 10.10.23.0/24 to any -> xxx.xxx.xxx.xxx

Думал, что проблема в НАТе, но тоже самое наблюдается и на белых айпишках. Значит проблема не в НАТе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

 

DNS - на базе линукса кеширующий

"вышестоящий", т.е. откуда "берешь", что-бы кешировать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

DNS - на базе линукса кеширующий

"вышестоящий", т.е. откуда "берешь", что-бы кешировать.

 

Я ж дал конфиг.

forwarders { 8.8.8.8;};
    query-source address * port 53;
    auth-nxdomain no;    # conform to RFC1035
};

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Попробуйте добавить в sysctl

net.inet.ip.fastforwarding=1
net.inet.ip.dummynet.io_fast=1
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

 

forwarders { 8.8.8.8;};

смени на ДНС аплинка. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

тюнить sysctl

знатная проблема на трафе 500+ мег

иногда вылазит уже на 300


 

 

forwarders { 8.8.8.8;};     query-source address * port 53;     auth-nxdomain no;    # conform to RFC1035 };

избавляться от этого говна и сделать на root.hints 


карты на em драйвере

советовал бы igb (82576/i350)


 

 

    allow-query {any;};     allow-transfer {any;};

вот этого тоже не стоит делать

allow-query и allow-recursion прописать однозначно 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

под нат поднять несколько интсансов под ipfw

он параллелится только количеством инстансов

т.е. 8 натов будут разползаться в 8 потоков соотвественно по ядрам размажет нагрузку

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

 

под нат поднять несколько интсансов под ipfw

можно поподробнее..... 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

 

можно поподробнее.....

ВНЕЗАПНО

ipfw nat 1 config ...

ipfw nat 2 config ..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

можно поподробнее.....

ВНЕЗАПНО

ipfw nat 1 config ...

ipfw nat 2 config ..

 

это так называется? т.е. другими словами мультинат?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Попробуйте добавить в sysctl

net.inet.ip.fastforwarding=1

net.inet.ip.dummynet.io_fast=1

 

Вы не внимательны "net.inet.ip.dummynet.io_fast=1" -  у меня есть, Фрю11 не поддерживает уже "net.inet.ip.fastforwarding=1"

 

 

 

 

 

forwarders { 8.8.8.8;};

смени на ДНС аплинка. 

 

К сожалению гугловские лучше работают, проверено!!!!

 

 

 

тюнить sysctl

знатная проблема на трафе 500+ мег

иногда вылазит уже на 300

 

 

forwarders { 8.8.8.8;};     query-source address * port 53;     auth-nxdomain no;    # conform to RFC1035 };

избавляться от этого говна и сделать на root.hints 

карты на em драйвере

советовал бы igb (82576/i350)

 

 

    allow-query {any;};     allow-transfer {any;};

вот этого тоже не стоит делать

allow-query и allow-recursion прописать однозначно 

Тюнить sysctl - можно в дурку попасть, столько версий как и что нужно делать, остановился на версии nightfly из убиллинга + добавил некоторые свои настройки, поторые посчитал важными.

На счет того, что нужно настроить рут-ДНС - это правильно, но лень - пока и кеширующий справляется со своей задачей, абонентов не так уж и много, сравнительно!!!!

На счет драйверов - большое спасибо, вообще не знал, что такое возможно - думал, что если уж ем-сетевая, значит ем, и игб - ей не светит. Фрю заюзал впервые, на линуксе как бы с этим проблем небыло, все дрова из коробки и никогда с ними небыло проблем.

 

 

ipfw nat или pf - споров в нете столько, что лучше - и опять же от этого можно сойти с ума. Пробовал себе ставить и НАТ и белую айпишку, разницы пока не заметил и не думаю, что моя выше описанная моя проблема будет в НАТ. Последний выбрал из-за простоты понятия лично для меня. Да и с такой машиной на роутере и с таким трафом и колличеством абонентов, я думаю, что пофик какой НАТ стоит.

Изменено пользователем Небесный

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я сказал юзать другие сетевые, и как следствие будет другой драйвер.

em умеет только по одной очереди на tx и одна на rx.

igb в часности сетевухе на чипе (82576) или i350 используют до 8-ми очередей

А на счет тюнинга sysctl - с таким подходом удачи выжать из наса какие-то адекватные цыфры и удачи ловить нехватку буферов, особенно с pf.

Стандартные опции больше по security, чем по оптимизации буферов. Буфера крутить тут надо знать что крутить, как крутить и вообще мозгом пользоваться (или хотя бы гуглом).

За неприкрытое нежелание что-то делать и хотя бы почитать и за такое же неприкрытое невежество минус в карму.

Ну и использовать *.0 фрю прям вообще удачи.

 

Читать меня через строчку тоже кстати огонь решение.

Я ж не с потолка это всё взял.

С таким подходом я ухожу из темы, пущай энтузиасты кому охота поучиться на чужом железе советуют.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

 

К сожалению гугловские лучше работают, проверено!!!!

сравни какой ip ютуба "выдаст" гугловский и какой аплинк.....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

К сожалению гугловские лучше работают, проверено!!!!

сравни какой ip ютуба "выдаст" гугловский и какой аплинк.....

 

Гугловские ДНСы ы аплинка отдают одно и то же.

Не заслуживающий доверия ответ:
╚ь :     youtube.com
Addresses:  2a00:1450:400d:807::200e
          216.58.214.206

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Я сказал юзать другие сетевые, и как следствие будет другой драйвер. em умеет только по одной очереди на tx и одна на rx. igb в часности сетевухе на чипе (82576) или i350 используют до 8-ми очередей

Недопонял, возьму на заметку. На счет сетевух, знаю, что они не огонь, но "що маємо, те маємо" - из оперы не всем иметь в ядре циску или джунипер.

 

 

 

А на счет тюнинга sysctl - с таким подходом удачи выжать из наса какие-то адекватные цыфры и удачи ловить нехватку буферов, особенно с pf. Стандартные опции больше по security, чем по оптимизации буферов. Буфера крутить тут надо знать что крутить, как крутить и вообще мозгом пользоваться (или хотя бы гуглом).

Коль в моем примере все так печально - значит займусь. Ибо под 

тюнить sysctl

я понял, что Вы вообще не обратили внимание на мой первый пост - значит будем крутить.

 

pf заюзал только потому, что не смог разобраться с ipfw nat как натить разные подсети на разные айпишки, которые кстати не являются айпишкой внешней сетевой карты на НАСе + проброс портов на внутренний ресурс с внешней сетевой.

Сможете помочь в этом вопросе? Был бы доволен, как слон и благодарность была бы тоже на слона похожа.

 

 

 

Ну и использовать *.0 фрю прям вообще удачи.

А, что так вообще прям все плохо с 0-й версией? Значит будем ждать обновы.

 

 

 

Читать меня через строчку тоже кстати огонь решение.

Я ж не с потолка это всё взял.

Это на счет ДНС? Согласен, что там все печально, но к данной теме он уж 100500% не имеет отношения, но взял на мушку данный совет.

Изменено пользователем Небесный

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
не смог разобраться с ipfw nat как натить разные подсети на разные айпишки,

я сделал так:

 

IP_WAN_1="YY.YY.YY.Y1"
IP_WAN_2="YY.YY.YY.Y2"
IP_WAN_3="YY.YY.YY.Y3"
 
# Networks define
${FwCMD} table 2 add 172.XX.0.0/24 1
${FwCMD} table 2 add 172.XX.1.0/24 2
${FwCMD} table 2 add 172.XX.2.0/24 3
 

 

#NAT_1
${FwCMD} nat 1 config log ip ${IP_WAN_1} reset same_ports redirect_port tcp 172.ХХ.ХХ.ХХ:8050-8059 8050-8059 
${FwCMD} add 6000 nat tablearg ip from table\(2\) to not table\(9\) out xmit ${WAN_IF}
${FwCMD} add 6001 nat 1 ip from any to ${IP_WAN_1} in recv ${WAN_IF}
 
#NAT_2
${FwCMD} nat 2 config log ip ${IP_WAN_2} reset same_ports redirect_port tcp 172.ХХ.ХХ.ХХ:37777-37781 37777-37781
${FwCMD} add 6011 nat tablearg ip from table\(2\) to not table\(9\) out xmit ${WAN_IF}
${FwCMD} add 6012 nat 2 ip from any to ${IP_WAN_2} in recv ${WAN_IF}
 
#NAT_3
${FwCMD} nat 3 config ip ${IP_WAN_3} deny_in unreg_only reset same_ports 
${FwCMD} add 6021 nat tablearg ip from table\(2\) to not table\(9\) out xmit ${WAN_IF}
${FwCMD} add 6022 nat 3 ip from any to ${IP_WAN_3} in recv ${WAN_IF}
 
 
здесь :
 redirect_port tcp 172.ХХ.ХХ.ХХ:37777-37781 37777-37781

 

проброс портов на внутренний ресурс с внешней сетевой
Изменено пользователем a_n_h

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

 

${FwCMD} add 6000 nat tablearg ip from table\(2\) to not table\(9\) out xmit ${WAN_IF}

 

 

${FwCMD} add 6011 nat tablearg ip from table\(2\) to not table\(9\) out xmit ${WAN_IF}

 

 

${FwCMD} add 6021 nat tablearg ip from table\(2\) to not table\(9\) out xmit ${WAN_IF}
 

 

и внимательно смотрим на счетчики 6011 и 6021 правил

они не нужны

для конструкции с tablearg достаточно одного правила

 

${FwCMD} add 6012 nat 2 ip from any to ${IP_WAN_2} in recv ${WAN_IF}

 

 

${FwCMD} add 6001 nat 1 ip from any to ${IP_WAN_1} in recv ${WAN_IF}

 

 

${FwCMD} add 6022 nat 3 ip from any to ${IP_WAN_3} in recv ${WAN_IF}

 

вот это всё заменяется на

${FwCMD} table 80 add xxx.xxx.xxx.xx1 1
${FwCMD} table 80 add xxx.xxx.xxx.xx2 2
${FwCMD} table 80 add xxx.xxx.xxx.xx3 3

${FwCMD} add 6001 nat tablearg ip from any to table\(80\) in recv ${WAN_IF} 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

 

я понял, что Вы вообще не обратили внимание на мой первый пост - значит будем крутить.

Ох внимательно всё прочитал.

Поэтому и сказал что нужно тюнить.

 

 

 

pf заюзал только потому, что не смог разобраться с ipfw nat как натить разные подсети на разные айпишки

По фаеру уже отписали, с моими правками.

 

 

 

А, что так вообще прям все плохо с 0-й версией? Значит будем ждать обновы.

Обычно много чего не так. *.0 считаю как альфу, *.1 как бету, уже начиная с *.2 релиз.

Все сидели на 9.3. Щас новые инсталы на 10.3. Я раньше 11.2 не подумаю даже ставить 11-ую ветку.

 

 

 

Это на счет ДНС? Согласен, что там все печально, но к данной теме он уж 100500% не имеет отношения, но взял на мушку данный совет.

И днс тоже. Вы поймите что есть шанс, что вы тупо учавствуете в каком-то dns-amplification. Кому-то плохо от Вас, ну и вашему серверу тоже хорошо не будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

${FwCMD} add 6000 nat tablearg ip from table\(2\) to not table\(9\) out xmit ${WAN_IF}

 

 

${FwCMD} add 6011 nat tablearg ip from table\(2\) to not table\(9\) out xmit ${WAN_IF}

 

 

${FwCMD} add 6021 nat tablearg ip from table\(2\) to not table\(9\) out xmit ${WAN_IF}
 

 

и внимательно смотрим на счетчики 6011 и 6021 правил

они не нужны

для конструкции с tablearg достаточно одного правила

 

${FwCMD} add 6012 nat 2 ip from any to ${IP_WAN_2} in recv ${WAN_IF}

 

 

${FwCMD} add 6001 nat 1 ip from any to ${IP_WAN_1} in recv ${WAN_IF}

 

 

${FwCMD} add 6022 nat 3 ip from any to ${IP_WAN_3} in recv ${WAN_IF}

 

вот это всё заменяется на

${FwCMD} table 80 add xxx.xxx.xxx.xx1 1
${FwCMD} table 80 add xxx.xxx.xxx.xx2 2
${FwCMD} table 80 add xxx.xxx.xxx.xx3 3

${FwCMD} add 6001 nat tablearg ip from any to table\(80\) in recv ${WAN_IF} 

 

 

Я все правильно понял, все это хозяйство будет выглядет вот так?

 

IP_WAN_1="YY.YY.YY.Y1"
IP_WAN_2="YY.YY.YY.Y2"
IP_WAN_3="YY.YY.YY.Y3"

# Не совем понял этот момент
${FwCMD} nat 1 config log ip ${IP_WAN_1} reset same_ports
${FwCMD} nat 2 config log ip ${IP_WAN_2} reset same_ports
${FwCMD} nat 3 config log ip ${IP_WAN_3} reset same_ports

# Networks define
${FwCMD} table 2 add 172.XX.0.0/24 1
${FwCMD} table 2 add 172.XX.1.0/24 2
${FwCMD} table 2 add 172.XX.2.0/24 3
${FwCMD} add 6000 nat tablearg ip from table\(2\) to not table\(9\) out xmit ${WAN_IF}


${FwCMD} table 80 add ${IP_WAN_1} 1
${FwCMD} table 80 add ${IP_WAN_2} 2
${FwCMD} table 80 add ${IP_WAN_3} 3
${FwCMD} add 6001 nat tablearg ip from any to table\(80\) in recv ${WAN_IF} 
Изменено пользователем Небесный

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
вот это всё заменяется на

${FwCMD} table 80 add xxx.xxx.xxx.xx1 1

${FwCMD} table 80 add xxx.xxx.xxx.xx2 2

${FwCMD}table 80 add xxx.xxx.xxx.xx3 3 ${FwCMD}

add 6001 nat tablearg ip from any to table\(80\) in recv ${WAN_IF} 

 

 

спасибо за подсказку, я как 2-а года тому нашел в нете так руки и не дошли, что-бы "прилизать".

Изменено пользователем a_n_h

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас


  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

×