Stargazer+NAS(rscriptd) - тормоза в видеотрафе.

[Небесный 26]

После разделения сервера(биллинг и роутер был в одном) на биллинг и НАС - начались тормоза с видеотрафиком, в частности особо заметно на ютубе, при скорости у абонента 60 мегабит - практически не идет кеширование видео. Провайдер отмазывается, что у них все в порядке! Да и все это случилось именно после переезда. Склоняюсь больше всего, что где-то что-то не так настроил. Посему прошу помощи в поиске проблемы.

 

Вопрос конечно не совсем касается старгейзера, но где спрашивать, как не здесь, где народ полностью поймет схему работы прохождения трафика.

Вопрос наверное будет больше касаться NASa, ибо к работе rscriptd и старгейзера притензий не имеется.

 

NAS организован на FreeBSD 11.

 

 

 

rc.conf

hostname="NAS1"
ifconfig_em1="inet xxx.xxx.xxx.xxx netmask 255.255.255.252"
ifconfig_em0="inet 10.10.100.150 netmask 255.255.252.0"
defaultrouter="xxx.xxx.xxx.xxx"


sshd_enable="YES"
ntpd_enable="YES"
ntpdate_enable="YES"


gateway_enable="YES"
firewall_enable="YES"
#firewall_nat_enable="YES"
dummynet_enable="YES"
firewall_type="/etc/firewall"


fprobe_enable="YES"
snmpd_enable="YES"


# Packet Filter Firewall
pf_enable="YES"


# Set dumpdev to "AUTO" to enable crash dumps, "NO" to disable
dumpdev="AUTO"




static_routes="1 2 3 4 5"
route_1="-net 192.168.0.0/24 10.10.100.10"
route_2="-net 10.0.0.0/8 10.10.100.10"
route_3="-net xxx.xxx.xxx.xxx/32 10.10.100.10"
route_4="-net xxx.xxx.xxx.xxx/26 10.10.100.10"
route_5="-net xxx.xxx.xxx.xxx/29 10.10.100.10"

 

 

 

ipfw

xxx.xxx.xxx.xxx - ip внешнего интерфейса

00100        13649        19999075 deny icmp from any to any frag
12000  36976684974  11198687380947 pipe tablearg ip from table(3) to any via em0 in
12001  55668291563  68971875223135 pipe tablearg ip from any to table(4) via em0 out
12101  75463671679  22634560064207 allow ip from table(11) to any
12201 112883242003 139603943819662 allow ip from any to table(11)
12301    130494872     14169851114 allow udp from any 53 to any
12401     11167974       737283427 allow udp from any to any dst-port 53
12501         4536         1108428 allow ip from any to any via lo0
12601            0               0 deny ip from any to 127.0.0.0/8
12701           21            1428 deny ip from 127.0.0.0/8 to any
12801   1051978958     79394861044 allow tcp from any to any established
12901      6926644       515696409 allow ip from xxx.xxx.xxx.xxx to any out xmit em1
13001      2521476       195901945 allow icmp from any to any via em0
13101     96573842      7276797694 allow icmp from any to any via em1
13201    203101654    218537374608 allow ip from table(2) to me
13301     20892190     30905771080 allow ip from me to table(2)
13401            0               0 allow tcp from any to any established
13501            0               0 allow ip from xxx.xxx.xxx.xxx to any out xmit em1
13601         6384          380752 allow ip from table(12) to 10.10.100.2 dst-port 443
65535   1399015004     93280645970 deny ip from any to any

sysctl

net.inet.ip.fw.one_pass=0
net.inet.tcp.maxtcptw=40960
kern.ipc.somaxconn=32768
#kern.ipc.nmbclusters=65536
net.inet.tcp.nolocaltimewait=1
net.inet.ip.portrange.randomized=0

# custom NAS config
net.inet.ip.forwarding=1
net.inet.ip.dummynet.io_fast=1
net.inet.ip.dummynet.pipe_slot_limit=2048
net.inet.ip.dummynet.hash_size=2048

#hardcore
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
net.inet.icmp.drop_redirect=1
net.inet.icmp.log_redirect=0
net.inet.ip.redirect=0
net.inet.ip.sourceroute=0
net.inet.ip.accept_sourceroute=0
net.inet.icmp.bmcastecho=0
net.inet.icmp.maskrepl=0
net.inet.tcp.drop_synfin=1
net.inet.tcp.syncookies=1

OnConnect

#! /bin/sh

# Login
LOGIN=$1

#user IP
IP=$2

#user ID
ID=$3

TARIFF=$4
SPEED=`sh /etc/rscriptd/functions/getspeed.sh $TARIFF`
SCOUNT="Kbit"

IPFW_ID1=`expr $ID + 101`;
IPFW_ID2=`expr $ID + 18101`;

/sbin/ipfw table 11 add $IP

/sbin/ipfw pipe $IPFW_ID1 config bw $SPEED$SCOUNT queue 32Kbytes
/sbin/ipfw pipe $IPFW_ID2 config bw $SPEED$SCOUNT queue 32Kbytes

ipfw table 3 add $IP $IPFW_ID1
ipfw table 4 add $IP $IPFW_ID2


touch /etc/rscriptd/online_users/$LOGIN
echo "$IPFW_ID1 $IPFW_ID2 $TARIFF" > /etc/rscriptd/online_users/$LOGIN

OnDisconect

#! /bin/sh

# Login
LOGIN=$1

#user IP
IP=$2

#user ID
ID=$3

IPFW_ID1=`expr $ID + 101`;
IPFW_ID2=`expr $ID + 18101`;

/sbin/ipfw table 11 delete $IP

/sbin/ipfw pipe $IPFW_ID1 delete
/sbin/ipfw pipe $IPFW_ID2 delete

ipfw table 3 delete $IP
ipfw table 4 delete $IP

rm -f /etc/rscriptd/online_users/$LOGIN

Сетевые карты em0 - локалка, em1 - внешняя.

em0@pci0:6:0:0: class=0x020000 card=0x10828086 chip=0x107d8086 rev=0x06 hdr=0x00
    vendor     = 'Intel Corporation'
    device     = '82572EI Gigabit Ethernet Controller (Copper)'
    class      = network
    subclass   = ethernet
em1@pci0:7:0:0: class=0x020000 card=0x10828086 chip=0x107d8086 rev=0x06 hdr=0x00
    vendor     = 'Intel Corporation'
    device     = '82572EI Gigabit Ethernet Controller (Copper)'
    class      = network
    subclass   = ethernet

root@NAS1:~ # netstat -i
Name    Mtu Network       Address              Ipkts Ierrs Idrop    Opkts Oerrs  Coll
igb0*  1500 <Link#1>      0c:c4:7a:80:38:e1        0     0     0        0     0     0
em0    1500 <Link#2>      68:05:ca:10:1e:c4 38022560939  4332     0 56374208541     0     0
em0       - 10.10.100.0/2 10.10.100.150     203380104     -     - 22601393     -     -
em1    1500 <Link#3>      00:1b:21:82:29:ae 58795103331     0     0 38127553778     0     0
em1       - xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx      121124     -     -  4549355     -     -
em2*   1500 <Link#4>      0c:c4:7a:80:38:e0        0     0     0        0     0     0
lo0   16384 <Link#5>      lo0                   2283     0     0     2283     0     0
lo0       - localhost     localhost                0     -     -        0     -     -
lo0       - fe80::%lo0/64 fe80::1%lo0              0     -     -        0     -     -
lo0       - your-net      localhost             2230     -     -     2283     -     -
root@NAS1:~ # ifconfig
igb0: flags=8c02<BROADCAST,OACTIVE,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=6403bb<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,TSO4,TSO6,VLAN_HWTSO,RXCSUM_IPV6,TXCSUM_IPV6>
        ether 0c:c4:7a:80:38:e1
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect
        status: no carrier
em0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=4019b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,VLAN_HWTSO>
        ether 68:05:ca:10:1e:c4
        inet 10.10.100.150 netmask 0xfffffc00 broadcast 10.10.103.255
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
em1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=4019b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,VLAN_HWTSO>
        ether 00:1b:21:82:29:ae
        inet xxx.xxx.xxx.xxx netmask 0xfffffffc broadcast xxx.xxx.xxx.xxx
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
em2: flags=8c02<BROADCAST,OACTIVE,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=4019b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,VLAN_HWTSO>
        ether 0c:c4:7a:80:38:e0
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect
        status: no carrier
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
        inet6 ::1 prefixlen 128
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x5
        inet 127.0.0.1 netmask 0xff000000
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
        groups: lo

Системные данные

root@NAS1:~ # sysctl hw.model hw.machine hw.ncpu
hw.model: Intel(R) Xeon(R) CPU E3-1220 v5 @ 3.00GHz
hw.machine: amd64
hw.ncpu: 4


root@NAS1:~ # sysctl -a | grep "hw.*mem"
hw.physmem: 34130026496
hw.usermem: 32959590400
hw.realmem: 34359738368
hw.pci.host_mem_start: 2147483648
hw.cbb.start_memory: 2281701376

 

 

[Небесный 26]

Забыл еще добавить трафик по вечерах в основном в районе 500 мегабит, иногда бывает до 600 пригает. Полки вечером по трафику нету. Да и тормоза наблюдаются не зависимо от времени суток и нагрузки на канал.

[a_n_h 590]

DNS сервера какие?

[Небесный 26]

DNS - на базе линукса кеширующий. Но, я не думаю, что ДНС будет учавствовать в кешировании видео при онлайн просмотре.

 

named.conf.options

options {

    directory "/var/cache/bind";

    version "Nax tebe moya versiya?";

    dump-file "/var/log/named_dump";

    statistics-file "/var/log/named.stat";

    allow-query {any;};

    allow-transfer {any;};

    max-cache-size 128M;

listen-on port 53 { 10.0.0.0/8; xxx.xxx.xxx.xxx/24; 192.168.0.0/21; 127.0.0.1; };

 

forwarders { 8.8.8.8;};

    query-source address * port 53;

    auth-nxdomain no;    # conform to RFC1035

};

 

logging {

 

    channel default_log {

        file "/etc/bind/logs/named.default" versions 5 size 50m;

        severity dynamic;

        print-time yes;

        print-category yes;

        print-severity yes;

    };

#

    channel dnssec_log {

        file "/etc/bind/logs/dnssec.log" versions 5 size 50m;

        print-time yes;

        print-category yes;

        print-severity yes;

        severity debug 2;

    };

#

    channel security_log {

        file "/etc/bind/logs/security.log" versions 5 size 50m;

        print-time yes;

        print-category yes;

        print-severity yes;

    };

#

    channel config_log {

        file "/etc/bind/logs/config.log" versions 5 size 50m;

        print-time yes;

        print-category yes;

        print-severity yes;

    };

#

    channel transfers_log {

        file "/etc/bind/logs/transfers.log" versions 5 size 50m;

        print-time yes;

        print-category yes;

        print-severity yes;

    };

#

    channel lame_log {

        file "/etc/bind/logs/lame.log" versions 5 size 50m;

        print-time yes;

        print-category yes;

        print-severity yes;

    };

    category dnssec {

        dnssec_log;

    };

#

    category security {

        security_log;

    };

#

    category config {

        config_log;

    };

#

    category xfer-in {

        transfers_log;

    };

#

    category xfer-out {

        transfers_log;

    };

#

    category lame-servers {

        lame_log;

    };

#

    category default {

        default_log;

    };

};

 

 

key "rndc-key" {

        algorithm hmac-md5;

        secret "06x4wJKMmRxkgRnUYqcr4w==";

};

 

controls {

    inet 127.0.0.1 port 953

    allow { 127.0.0.1;} keys { "rndc-key"; };

          };

 

 

[Небесный 26]

Еще по поводу NAT - организован на базе pf

 

pf.conf

set limit states 500000
set optimization aggressive


nat on em1 from 10.10.100.0/24 to any -> xxx.xxx.xxx.xxx
nat on em1 from 192.168.0.0/24 to any -> xxx.xxx.xxx.xxx
nat on em1 from 10.10.0.0/24 to any -> xxx.xxx.xxx.xxx
nat on em1 from 10.10.1.0/24 to any -> xxx.xxx.xxx.xxx
nat on em1 from 10.100.0.0/22 to any -> xxx.xxx.xxx.xxx
nat on em1 from 10.102.0.0/22 to any -> xxx.xxx.xxx.xxx
nat on em1 from 10.104.0.0/22 to any -> xxx.xxx.xxx.xxx
nat on em1 from 10.200.0.0/22 to any ->xxx.xxx.xxx.xxx
nat on em1 from 10.10.50.0/22 to any -> xxx.xxx.xxx.xxx
nat on em1 from 10.10.24.0/22 to any -> xxx.xxx.xxx.xxx


nat on em1 from 10.10.24.110/32 to any -> xxx.xxx.xxx.xxx
nat on em1 from 10.70.0.0/24 to any -> xxx.xxx.xxx.xxx
nat on em1 from 10.10.23.0/24 to any -> xxx.xxx.xxx.xxx

Думал, что проблема в НАТе, но тоже самое наблюдается и на белых айпишках. Значит проблема не в НАТе.

[a_n_h 590]

 

 

DNS - на базе линукса кеширующий

"вышестоящий", т.е. откуда "берешь", что-бы кешировать.

[Небесный 26]

 

DNS - на базе линукса кеширующий

"вышестоящий", т.е. откуда "берешь", что-бы кешировать.

 

Я ж дал конфиг.

forwarders { 8.8.8.8;};

    query-source address * port 53;

    auth-nxdomain no;    # conform to RFC1035

};

[oberon85 13]

Попробуйте добавить в sysctl

net.inet.ip.fastforwarding=1
net.inet.ip.dummynet.io_fast=1
 

[a_n_h 590]

 

 

forwarders { 8.8.8.8;};

смени на ДНС аплинка. 

[l1ght 377]

тюнить sysctl

знатная проблема на трафе 500+ мег

иногда вылазит уже на 300

 

 

forwarders { 8.8.8.8;};     query-source address * port 53;     auth-nxdomain no;    # conform to RFC1035 };

избавляться от этого говна и сделать на root.hints 

карты на em драйвере

советовал бы igb (82576/i350)

 

 

    allow-query {any;};     allow-transfer {any;};

вот этого тоже не стоит делать

allow-query и allow-recursion прописать однозначно 

[l1ght 377]

под нат поднять несколько интсансов под ipfw

он параллелится только количеством инстансов

т.е. 8 натов будут разползаться в 8 потоков соотвественно по ядрам размажет нагрузку

[a_n_h 590]

 

 

под нат поднять несколько интсансов под ipfw

можно поподробнее..... 

[nightfly 1 241]

 

 

можно поподробнее.....

ВНЕЗАПНО

ipfw nat 1 config ...

ipfw nat 2 config ..

[a_n_h 590]

 

можно поподробнее.....

ВНЕЗАПНО

ipfw nat 1 config ...

ipfw nat 2 config ..

 

это так называется? т.е. другими словами мультинат?

[Небесный 26]

Попробуйте добавить в sysctl

net.inet.ip.fastforwarding=1

net.inet.ip.dummynet.io_fast=1

 

Вы не внимательны "net.inet.ip.dummynet.io_fast=1" -  у меня есть, Фрю11 не поддерживает уже "net.inet.ip.fastforwarding=1"

 

 

 

 

 

forwarders { 8.8.8.8;};

смени на ДНС аплинка. 

 

К сожалению гугловские лучше работают, проверено!!!!

 

 

 

тюнить sysctl

знатная проблема на трафе 500+ мег

иногда вылазит уже на 300

 

 

forwarders { 8.8.8.8;};     query-source address * port 53;     auth-nxdomain no;    # conform to RFC1035 };

избавляться от этого говна и сделать на root.hints 

карты на em драйвере

советовал бы igb (82576/i350)

 

 

    allow-query {any;};     allow-transfer {any;};

вот этого тоже не стоит делать

allow-query и allow-recursion прописать однозначно 

Тюнить sysctl - можно в дурку попасть, столько версий как и что нужно делать, остановился на версии nightfly из убиллинга + добавил некоторые свои настройки, поторые посчитал важными.

На счет того, что нужно настроить рут-ДНС - это правильно, но лень - пока и кеширующий справляется со своей задачей, абонентов не так уж и много, сравнительно!!!!

На счет драйверов - большое спасибо, вообще не знал, что такое возможно - думал, что если уж ем-сетевая, значит ем, и игб - ей не светит. Фрю заюзал впервые, на линуксе как бы с этим проблем небыло, все дрова из коробки и никогда с ними небыло проблем.

 

 

ipfw nat или pf - споров в нете столько, что лучше - и опять же от этого можно сойти с ума. Пробовал себе ставить и НАТ и белую айпишку, разницы пока не заметил и не думаю, что моя выше описанная моя проблема будет в НАТ. Последний выбрал из-за простоты понятия лично для меня. Да и с такой машиной на роутере и с таким трафом и колличеством абонентов, я думаю, что пофик какой НАТ стоит.

Відредаговано 2017-03-01 20:46:11 Небесный

[l1ght 377]

Я сказал юзать другие сетевые, и как следствие будет другой драйвер.

em умеет только по одной очереди на tx и одна на rx.

igb в часности сетевухе на чипе (82576) или i350 используют до 8-ми очередей

А на счет тюнинга sysctl - с таким подходом удачи выжать из наса какие-то адекватные цыфры и удачи ловить нехватку буферов, особенно с pf.

Стандартные опции больше по security, чем по оптимизации буферов. Буфера крутить тут надо знать что крутить, как крутить и вообще мозгом пользоваться (или хотя бы гуглом).

За неприкрытое нежелание что-то делать и хотя бы почитать и за такое же неприкрытое невежество минус в карму.

Ну и использовать *.0 фрю прям вообще удачи.

 

Читать меня через строчку тоже кстати огонь решение.

Я ж не с потолка это всё взял.

С таким подходом я ухожу из темы, пущай энтузиасты кому охота поучиться на чужом железе советуют.

[a_n_h 590]

 

 

К сожалению гугловские лучше работают, проверено!!!!

сравни какой ip ютуба "выдаст" гугловский и какой аплинк.....

[Небесный 26]

 

К сожалению гугловские лучше работают, проверено!!!!

сравни какой ip ютуба "выдаст" гугловский и какой аплинк.....

 

Гугловские ДНСы ы аплинка отдают одно и то же.

Не заслуживающий доверия ответ:
╚ь :     youtube.com
Addresses:  2a00:1450:400d:807::200e
          216.58.214.206

[Небесный 26]

Я сказал юзать другие сетевые, и как следствие будет другой драйвер. em умеет только по одной очереди на tx и одна на rx. igb в часности сетевухе на чипе (82576) или i350 используют до 8-ми очередей

Недопонял, возьму на заметку. На счет сетевух, знаю, что они не огонь, но "що маємо, те маємо" - из оперы не всем иметь в ядре циску или джунипер.

 

 

 

А на счет тюнинга sysctl - с таким подходом удачи выжать из наса какие-то адекватные цыфры и удачи ловить нехватку буферов, особенно с pf. Стандартные опции больше по security, чем по оптимизации буферов. Буфера крутить тут надо знать что крутить, как крутить и вообще мозгом пользоваться (или хотя бы гуглом).

Коль в моем примере все так печально - значит займусь. Ибо под 

тюнить sysctl

я понял, что Вы вообще не обратили внимание на мой первый пост - значит будем крутить.

 

pf заюзал только потому, что не смог разобраться с ipfw nat как натить разные подсети на разные айпишки, которые кстати не являются айпишкой внешней сетевой карты на НАСе + проброс портов на внутренний ресурс с внешней сетевой.

Сможете помочь в этом вопросе? Был бы доволен, как слон и благодарность была бы тоже на слона похожа.

 

 

 

Ну и использовать *.0 фрю прям вообще удачи.

А, что так вообще прям все плохо с 0-й версией? Значит будем ждать обновы.

 

 

 

Читать меня через строчку тоже кстати огонь решение.

Я ж не с потолка это всё взял.

Это на счет ДНС? Согласен, что там все печально, но к данной теме он уж 100500% не имеет отношения, но взял на мушку данный совет.

Відредаговано 2017-03-02 05:35:58 Небесный

[a_n_h 590]

не смог разобраться с ipfw nat как натить разные подсети на разные айпишки,

я сделал так:

 

IP_WAN_1="YY.YY.YY.Y1"

IP_WAN_2="YY.YY.YY.Y2"

IP_WAN_3="YY.YY.YY.Y3"

 

# Networks define

${FwCMD} table 2 add 172.XX.0.0/24 1

${FwCMD} table 2 add 172.XX.1.0/24 2

${FwCMD} table 2 add 172.XX.2.0/24 3

 

 

#NAT_1

${FwCMD} nat 1 config log ip ${IP_WAN_1} reset same_ports redirect_port tcp 172.ХХ.ХХ.ХХ:8050-8059 8050-8059 

${FwCMD} add 6000 nat tablearg ip from table\(2\) to not table\(9\) out xmit ${WAN_IF}

${FwCMD} add 6001 nat 1 ip from any to ${IP_WAN_1} in recv ${WAN_IF}

 

#NAT_2

${FwCMD} nat 2 config log ip ${IP_WAN_2} reset same_ports redirect_port tcp 172.ХХ.ХХ.ХХ:37777-37781 37777-37781

${FwCMD} add 6011 nat tablearg ip from table\(2\) to not table\(9\) out xmit ${WAN_IF}

${FwCMD} add 6012 nat 2 ip from any to ${IP_WAN_2} in recv ${WAN_IF}

 

#NAT_3

${FwCMD} nat 3 config ip ${IP_WAN_3} deny_in unreg_only reset same_ports 

${FwCMD} add 6021 nat tablearg ip from table\(2\) to not table\(9\) out xmit ${WAN_IF}

${FwCMD} add 6022 nat 3 ip from any to ${IP_WAN_3} in recv ${WAN_IF}

 

 

здесь :

 redirect_port tcp 172.ХХ.ХХ.ХХ:37777-37781 37777-37781

 

проброс портов на внутренний ресурс с внешней сетевой

Відредаговано 2017-03-02 06:27:58 a_n_h

[Небесный 26]

Спасибо, буду пробовать.

[l1ght 377]

 

 

${FwCMD} add 6000 nat tablearg ip from table\(2\) to not table\(9\) out xmit ${WAN_IF}

 

 

${FwCMD} add 6011 nat tablearg ip from table\(2\) to not table\(9\) out xmit ${WAN_IF}

 

 

${FwCMD} add 6021 nat tablearg ip from table\(2\) to not table\(9\) out xmit ${WAN_IF}

 

 

и внимательно смотрим на счетчики 6011 и 6021 правил

они не нужны

для конструкции с tablearg достаточно одного правила

 

${FwCMD} add 6012 nat 2 ip from any to ${IP_WAN_2} in recv ${WAN_IF}

 

 

${FwCMD} add 6001 nat 1 ip from any to ${IP_WAN_1} in recv ${WAN_IF}

 

 

${FwCMD} add 6022 nat 3 ip from any to ${IP_WAN_3} in recv ${WAN_IF}

 

вот это всё заменяется на

${FwCMD} table 80 add xxx.xxx.xxx.xx1 1
${FwCMD} table 80 add xxx.xxx.xxx.xx2 2
${FwCMD} table 80 add xxx.xxx.xxx.xx3 3

${FwCMD} add 6001 nat tablearg ip from any to table\(80\) in recv ${WAN_IF} 

[l1ght 377]

 

 

я понял, что Вы вообще не обратили внимание на мой первый пост - значит будем крутить.

Ох внимательно всё прочитал.

Поэтому и сказал что нужно тюнить.

 

 

 

pf заюзал только потому, что не смог разобраться с ipfw nat как натить разные подсети на разные айпишки

По фаеру уже отписали, с моими правками.

 

 

 

А, что так вообще прям все плохо с 0-й версией? Значит будем ждать обновы.

Обычно много чего не так. *.0 считаю как альфу, *.1 как бету, уже начиная с *.2 релиз.

Все сидели на 9.3. Щас новые инсталы на 10.3. Я раньше 11.2 не подумаю даже ставить 11-ую ветку.

 

 

 

Это на счет ДНС? Согласен, что там все печально, но к данной теме он уж 100500% не имеет отношения, но взял на мушку данный совет.

И днс тоже. Вы поймите что есть шанс, что вы тупо учавствуете в каком-то dns-amplification. Кому-то плохо от Вас, ну и вашему серверу тоже хорошо не будет.

[Небесный 26]

 

${FwCMD} add 6000 nat tablearg ip from table\(2\) to not table\(9\) out xmit ${WAN_IF}

 

 

${FwCMD} add 6011 nat tablearg ip from table\(2\) to not table\(9\) out xmit ${WAN_IF}

 

 

${FwCMD} add 6021 nat tablearg ip from table\(2\) to not table\(9\) out xmit ${WAN_IF}

 

 

и внимательно смотрим на счетчики 6011 и 6021 правил

они не нужны

для конструкции с tablearg достаточно одного правила

 

${FwCMD} add 6012 nat 2 ip from any to ${IP_WAN_2} in recv ${WAN_IF}

 

 

${FwCMD} add 6001 nat 1 ip from any to ${IP_WAN_1} in recv ${WAN_IF}

 

 

${FwCMD} add 6022 nat 3 ip from any to ${IP_WAN_3} in recv ${WAN_IF}

 

вот это всё заменяется на

${FwCMD} table 80 add xxx.xxx.xxx.xx1 1
${FwCMD} table 80 add xxx.xxx.xxx.xx2 2
${FwCMD} table 80 add xxx.xxx.xxx.xx3 3

${FwCMD} add 6001 nat tablearg ip from any to table\(80\) in recv ${WAN_IF} 

 

 

Я все правильно понял, все это хозяйство будет выглядет вот так?

 

IP_WAN_1="YY.YY.YY.Y1"
IP_WAN_2="YY.YY.YY.Y2"
IP_WAN_3="YY.YY.YY.Y3"

# Не совем понял этот момент
${FwCMD} nat 1 config log ip ${IP_WAN_1} reset same_ports
${FwCMD} nat 2 config log ip ${IP_WAN_2} reset same_ports
${FwCMD} nat 3 config log ip ${IP_WAN_3} reset same_ports

# Networks define
${FwCMD} table 2 add 172.XX.0.0/24 1
${FwCMD} table 2 add 172.XX.1.0/24 2
${FwCMD} table 2 add 172.XX.2.0/24 3
${FwCMD} add 6000 nat tablearg ip from table\(2\) to not table\(9\) out xmit ${WAN_IF}


${FwCMD} table 80 add ${IP_WAN_1} 1
${FwCMD} table 80 add ${IP_WAN_2} 2
${FwCMD} table 80 add ${IP_WAN_3} 3
${FwCMD} add 6001 nat tablearg ip from any to table\(80\) in recv ${WAN_IF} 

Відредаговано 2017-03-02 13:13:23 Небесный

[a_n_h 590]

вот это всё заменяется на

${FwCMD} table 80 add xxx.xxx.xxx.xx1 1

${FwCMD} table 80 add xxx.xxx.xxx.xx2 2

${FwCMD}table 80 add xxx.xxx.xxx.xx3 3 ${FwCMD}

add 6001 nat tablearg ip from any to table\(80\) in recv ${WAN_IF} 

 

 

спасибо за подсказку, я как 2-а года тому нашел в нете так руки и не дошли, что-бы "прилизать".

Відредаговано 2017-03-02 17:04:43 a_n_h