|
Название: НАТ! срочно Отправлено: NodenY45 от 11 Октября 2009, 11:27:22 ??? помогите!
Есть в документации /etc/rc.firewall для PF nat <code> #!/bin/sh - f='/sbin/ipfw' ifOut='em0' # Сети, в/из которых трафик блокируем ${f} table 120 flush ${f} table 120 add 224.0.0.0/4 ${f} table 120 add 192.168.0.0/16 ${f} table 120 add 172.16.0.0/12 ${f} -f flush ${f} add 50 allow tcp from any to me 22 ${f} add 51 allow tcp from me 22 to any ${f} add 100 deny tcp from any to any 445 ${f} add 110 allow ip from any to any via lo0 ${f} add 120 skipto 1000 ip from me to any ${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 ${f} add 140 deny ip from any to "table(120)" ${f} add 150 deny ip from "table(120)" to any ${f} add 160 skipto 2000 ip from any to me ${f} add 200 skipto 500 ip from any to any via ${ifOut} ${f} add 300 skipto 4500 ip from any to any in ${f} add 400 skipto 450 ip from any to any recv ${ifOut} ${f} add 420 divert 1 ip from any to any ${f} add 450 divert 2 ip from any to any ${f} add 490 allow ip from any to any ${f} add 500 skipto 32500 ip from any to any in ${f} add 510 divert 1 ip from any to any ${f} add 540 allow ip from any to any ${f} add 1000 allow udp from any 53,7723 to any ${f} add 1010 allow tcp from any to any setup keep-state ${f} add 1020 allow udp from any to any keep-state ${f} add 1100 allow ip from any to any ${f} add 2000 check-state ${f} add 2010 allow icmp from any to any ${f} add 2020 allow tcp from any to any 80,443 ${f} add 2050 deny ip from any to any via ${ifOut} ${f} add 2060 allow udp from any to any 53,7723 ${f} add 2100 deny ip from any to any ${f} add 32490 deny ip from any to any </code> PF при нагрузки ТУПИТ, не хочет работать вообще... хочу вернуть обратно NATd, помогите, не знаю куда дописать строку <code> ${f} add .. divert natd ip from any to any via ${ifOut} ${f} add .. allow ip from any to any via ${ifOut} </code> и что если нужно убрать с конфига ??? версия 50.17 Название: Re: НАТ! срочно Отправлено: goletsa от 11 Октября 2009, 11:32:53 Что значит pf тупит?
При какой нагрузке? Какой трафик\колво пакетов? Конфиг pf'а какой? Название: Re: НАТ! срочно Отправлено: NodenY45 от 11 Октября 2009, 11:46:34 Что значит pf тупит? при 60мбит начинают терятся пакеты, на клиентах с реальными айпи все нормально.При какой нагрузке? Какой трафик\колво пакетов? Конфиг pf'а какой? cat /etc/pf.conf nat pass on vr0 inet from 10.0.0.0/8 to any -> vr0 Название: Re: НАТ! срочно Отправлено: goletsa от 11 Октября 2009, 11:50:35 Код: cat /etc/pf.conf И вы уверены что проблемы в NAT'е? Просто vr ( vr -- VIA Technologies Rhine I/II/III Ethernet device driver (с)man vr) не очень холрошие сетевые карты... Название: Re: НАТ! срочно Отправлено: NodenY45 от 11 Октября 2009, 12:01:45 именно в нате...
на маршрутизации все нормально. насчет сетевой, стояла медная fxp0 то же самое, заменили на тест на vr0 оптическую ... отредактировал конфиг как у тебя.. ща вроде норм.. позже отпишусь Название: Re: НАТ! срочно Отправлено: Elisium от 11 Октября 2009, 14:01:28 На скоростях от 100 мбт вот это лучше убрать:
Код: scrub in all fragment reassemble Название: Re: НАТ! срочно Отправлено: goletsa от 11 Октября 2009, 17:18:15 На скоростях от 100 мбт вот это лучше убрать: Код: scrub in all fragment reassemble Без этого начинаются проблемы у юзеров с тяжелыми сайтами типа mail.ru\vkontakte.ru Изза разницы в MTU. А так с такими настройками сервер молотил до 500Гбит трафика на Q9550 + 2недоделанные интеловые карточки Название: Re: НАТ! срочно Отправлено: Elisium от 11 Октября 2009, 18:21:13 У нас со scrub all наблюдались потери пакетов и большая загрузка проца.
А без - молотит пока что 400 мбт in/ 400 out и не жужжит ) Название: Re: НАТ! срочно Отправлено: goletsa от 12 Октября 2009, 13:33:13 У нас со scrub all наблюдались потери пакетов и большая загрузка проца. На каком железе?А без - молотит пока что 400 мбт in/ 400 out и не жужжит ) Название: Re: НАТ! срочно Отправлено: Elisium от 12 Октября 2009, 14:56:02 Проц - Intel(R) Xeon(R) CPU E5405 @ 2.00GHz
Вроде чипсет - Intel 631XESB/632XESB Сетевухи (ем)- Intel(R) PRO/1000 Network Connection 6.9.6 Название: Re: НАТ! срочно Отправлено: NodenY45 от 12 Октября 2009, 21:37:21 Код: cat /etc/pf.conf И вы уверены что проблемы в NAT'е? Просто vr ( vr -- VIA Technologies Rhine I/II/III Ethernet device driver (с)man vr) не очень холрошие сетевые карты... Вы знаете, потестили, опять таки глюки есть, начинает подтормаживать при 80 мбит. Скажите чем же лучше этот PF от NATd ? И еще, не отправляется почта из под ната.... Название: Re: НАТ! срочно Отправлено: Efendy от 13 Октября 2009, 07:06:50 natd выполняется вне контекста ядра в отличие от pfnat, из-за этого pfnat производительней natd. Если ты хочешь поставить natd - этим ты только ухудшишь ситуацию. Понять является проблемой производительности нат очень просто:
Код: ipfw add 1 allow ip from any to any Название: Re: НАТ! срочно Отправлено: NodenY45 от 13 Октября 2009, 07:26:06 natd выполняется вне контекста ядра в отличие от pfnat, из-за этого pfnat производительней natd. Если ты хочешь поставить natd - этим ты только ухудшишь ситуацию. Понять является проблемой производительности нат очень просто: Как насчет отправки почты? из под ната Оутлук выдает ошибку, при переходе на роутинг - все гут. Код: ipfw add 1 allow ip from any to any Пробовал разные почтовые сервера, та же ситуация на всех... Название: Re: НАТ! срочно Отправлено: Maks от 13 Октября 2009, 08:19:16 А 25 порт ты разрешил? В ноуденай он по умолчанию закрыт
Название: Re: НАТ! срочно Отправлено: Efendy от 13 Октября 2009, 09:18:26 А 25 порт ты разрешил? В ноуденай он по умолчанию закрыт да, смотри раздел "технические данные клиента" в настройках конкретного клиентаНазвание: Re: НАТ! срочно Отправлено: goletsa от 15 Октября 2009, 06:23:05 Проц - Intel(R) Xeon(R) CPU E5405 @ 2.00GHz А топ вечером можете показать? :)Вроде чипсет - Intel 631XESB/632XESB Сетевухи (ем)- Intel(R) PRO/1000 Network Connection 6.9.6 Название: Re: НАТ! срочно Отправлено: NodenY45 от 28 Октября 2009, 18:44:51 Плохо работает с pf, на 45версии все было отлично, но после обновления на 50, стало все подтормаживать....
Ну а все таки, кто подскажет как вернуть natd в конфиг фаервола к 50 билигу? Название: Re: НАТ! срочно Отправлено: Elisium от 28 Октября 2009, 23:48:08 А топ вечером можете показать? :) Код: last pid: 71642; load averages: 0.36, 0.39, 0.44 up 3+02:58:39 23:45:33 Это, правда, совсем уж вечером (( Скорость 300 мбт вниз / 200 вверх ... но когда нагрузка выше 400 в обе стороны, то там только дамминет и ем0 процентов по 6-7 обе вырастают .. Название: Re: НАТ! срочно Отправлено: goletsa от 29 Октября 2009, 07:25:54 Странна. У мну emX tasq растет синхронно с даминетом. Т.е. у них приблизительно один и тот же уровень.
Название: Re: НАТ! срочно Отправлено: Elisium от 29 Октября 2009, 16:31:34 Странна. У мну emX tasq растет синхронно с даминетом. Т.е. у них приблизительно один и тот же уровень. Ну так у меня то же самое .. Цитировать то там только дамминет и ем0 процентов по 6-7 обе вырастают .. Название: Re: НАТ! срочно Отправлено: VitalVas от 24 Ноября 2009, 13:22:04 а вы все пробывали обновить фрю??
Название: Re: НАТ! срочно Отправлено: traktor150 от 08 Сентября 2014, 12:05:27 И как удалось перейти с pf на natd?
какие результаты? Название: Re: НАТ! срочно Отправлено: Groov от 11 Сентября 2014, 05:07:24 Что значит pf тупит? при 60мбит начинают терятся пакеты, на клиентах с реальными айпи все нормально.При какой нагрузке? Какой трафик\колво пакетов? Конфиг pf'а какой? cat /etc/pf.conf nat pass on vr0 inet from 10.0.0.0/8 to any -> vr0 ))))))))) Честно сказать всё гораздо проще ))))))))))) Когда начинает тупить запусти вот такую команду и скажи помогло или нет ))))) pfctl -f /etc/pf.conf Я знаю что будуте говорить брет. А вы по пробуйте. И кстате у меня на i5 дует 700-800 Мбит нагрузка 48 процентов на igb карточках. Кому нужна помощь в настойке хорошей пропускной способности. ОБРАЩАЙТЕСЬ Название: Re: НАТ! срочно Отправлено: ser970 от 11 Сентября 2014, 09:04:30 Когда начинает тупить запусти вот такую команду и скажи помогло или нет ))))) pfctl -f /etc/pf.conf Я знаю что будуте говорить брет. А вы по пробуйте. И кстате у меня на i5 дует 700-800 Мбит нагрузка 48 процентов на igb карточках. Кому нужна помощь в настойке хорошей пропускной способности. ОБРАЩАЙТЕСЬ man pf а вообще то маны для того и пишутся что бы их читали...... pfctl -sm и курить цифры.... Название: Re: НАТ! срочно Отправлено: Groov от 11 Сентября 2014, 12:42:49 Когда начинает тупить запусти вот такую команду и скажи помогло или нет ))))) pfctl -f /etc/pf.conf Я знаю что будуте говорить брет. А вы по пробуйте. И кстате у меня на i5 дует 700-800 Мбит нагрузка 48 процентов на igb карточках. Кому нужна помощь в настойке хорошей пропускной способности. ОБРАЩАЙТЕСЬ man pf а вообще то маны для того и пишутся что бы их читали...... pfctl -sm и курить цифры.... Вить я написал что брет. но факт в том, что я такую ситуацию наблюдаю не однократно. В тупоря перечитываешь конфиг даже без -F all, и о чюдо всё начинает летать )) Название: Re: НАТ! срочно Отправлено: ser970 от 11 Сентября 2014, 14:02:57 Когда начинает тупить запусти вот такую команду и скажи помогло или нет ))))) pfctl -f /etc/pf.conf Я знаю что будуте говорить брет. А вы по пробуйте. И кстате у меня на i5 дует 700-800 Мбит нагрузка 48 процентов на igb карточках. Кому нужна помощь в настойке хорошей пропускной способности. ОБРАЩАЙТЕСЬ man pf а вообще то маны для того и пишутся что бы их читали...... pfctl -sm и курить цифры.... Вить я написал что брет. но факт в том, что я такую ситуацию наблюдаю не однократно. В тупоря перечитываешь конфиг даже без -F all, и о чюдо всё начинает летать )) 1. выпить обезболивающее . 2. вылечить . увеличить таблицы да и все. или лучше сидеть возле сервера и ждать когда затупит? а если в отпуске , в больнице или т.п ? Название: Re: НАТ! срочно Отправлено: Groov от 11 Сентября 2014, 18:49:57 Когда начинает тупить запусти вот такую команду и скажи помогло или нет ))))) pfctl -f /etc/pf.conf Я знаю что будуте говорить брет. А вы по пробуйте. И кстате у меня на i5 дует 700-800 Мбит нагрузка 48 процентов на igb карточках. Кому нужна помощь в настойке хорошей пропускной способности. ОБРАЩАЙТЕСЬ man pf а вообще то маны для того и пишутся что бы их читали...... pfctl -sm и курить цифры.... Вить я написал что брет. но факт в том, что я такую ситуацию наблюдаю не однократно. В тупоря перечитываешь конфиг даже без -F all, и о чюдо всё начинает летать )) 1. выпить обезболивающее . 2. вылечить . увеличить таблицы да и все. или лучше сидеть возле сервера и ждать когда затупит? а если в отпуске , в больнице или т.п ? У меня только после перезагрузки это нужно делать 1 раз. а перезагрузка раз в пол года. (Android SSH (kyivsrar)) на крайний случай )) Название: Re: НАТ! срочно Отправлено: ser970 от 11 Сентября 2014, 20:31:17 У меня только после перезагрузки это нужно делать 1 раз. а перезагрузка раз в пол года. (Android SSH (kyivsrar)) на крайний случай )) ну видать у нас разные подходы - я привык лечить , а не рестартовать что то....что то напомнило.... что делают программист , инженер и новый русский если машина сломалась. новый русский берет пачку денег покупает новую. инженер открывает капот и ковыряется. программист по очереди выходит и заходит через разные двери..... |