|
Название: ipfw nat Отправлено: amasis от 02 Августа 2010, 09:57:09 Добрый день .
Использует ли кто-нибудь ipfw nat ? Как впечатления ? Как реализовать с помощью ipfw nat "реальные ip" ? в pf это выглядело так: no nat on $IF_OUT from <reai_ip> to any Спасибо Название: Re: ipfw nat Отправлено: stix от 02 Августа 2010, 10:19:54 Добрый день . а зачем nonat делать в pf?Использует ли кто-нибудь ipfw nat ? Как впечатления ? Как реализовать с помощью ipfw nat "реальные ip" ? в pf это выглядело так: no nat on $IF_OUT from <reai_ip> to any Спасибо это ведь исключающее правило можно ведь просто сделать правила нат для серых сетей? для бината разве что ipfw3 вроде модный Название: Re: ipfw nat Отправлено: ser970 от 02 Августа 2010, 11:28:36 Использует ли кто-нибудь ipfw nat ? Как впечатления ? шутрее работает. всетаки кернерленд.Как реализовать с помощью ipfw nat "реальные ip" ? в pf это выглядело так: no nat on $IF_OUT from <reai_ip> to any не понятен смыс правила. если зверь имеет на компе реал то просто пропускаешь пакеты если проборос то тут надо чуть исходники поправить - там буфер под переменую мало - гдето на 10-15 правил - поправишь можно буде больше всунуть. Название: Re: ipfw nat Отправлено: amasis от 02 Августа 2010, 15:06:48 шутрее работает. всетаки кернерленд. А если сравнивать с pf nat ? Название: Re: ipfw nat Отправлено: ser970 от 02 Августа 2010, 17:08:30 шутрее работает. всетаки кернерленд. А если сравнивать с pf nat ? ну как еще ответить ? повторя. еще раз. ipfw_nat быстрее pf nat Название: Re: ipfw nat Отправлено: blackjack от 02 Августа 2010, 18:08:35 я використовую ipfw nat + таблиці.
Цитировать ipfw_nat быстрее pf nat тіпа трохи шустріший, якшо вірити шо він мультипроцесорний. Реальних бенчмарків я не бачив ні разу і сам не проводив, крім статті про нат і нетфлоу на наг.ру. Название: Re: ipfw nat Отправлено: Elisium от 02 Августа 2010, 21:00:05 Гдето на наге уже писали, что на скоростях до пары гигабит ПФ хватает за глаза, а на бОльших скоростях обычно уже нат не используют, выдают реальники.
Название: Re: ipfw nat Отправлено: stix от 02 Августа 2010, 21:22:25 Основная загвоздка в том, что pf по слухам не работает с SMP, т.к. портирован давно из OpenBSD
pf удобен, в этом его огромный плюс Название: Re: ipfw nat Отправлено: ser970 от 03 Августа 2010, 08:32:32 Гдето на наге уже писали, что на скоростях до пары гигабит ПФ хватает за глаза, а на бОльших скоростях обычно уже нат не используют, выдают реальники. ты думаешь что только скоротсь трафа играет роль? могу поспорить-не справится даже с 100м .кроме тсп (где есть кадр окна) есть еще и куча других протоколов где его нет.скажем так 100м инфы по тсп и 100м по удп могут создать нагрузку в несколко порядков отличну. пф удобен - да но именно не натом - там есть другие функции. почитайте маны про ipfw_nat посмотрите исходники. з.ы. если бы в доке вместо pf был бы ipfw_nat то про удобстово былобы на оборот. Название: Re: ipfw nat Отправлено: stix от 03 Августа 2010, 08:36:26 просто удобно pfctl перегружать не дергая основные сессии форварда или по аналогии таблицы filters
а так да...это дело привычки лучше уметь делать во всем делать и через нетграф и кернел натом Название: Re: ipfw nat Отправлено: elite от 03 Августа 2010, 09:05:58 в пф очень удобно натить в пул реальных ип :))
Название: Re: ipfw nat Отправлено: ser970 от 03 Августа 2010, 09:21:26 в пф очень удобно натить в пул реальных ип :)) угу а ipfw_nat нетак просто - но по скорости и нагрузке на сервак....Название: Re: ipfw nat Отправлено: amasis от 03 Августа 2010, 11:56:05 а реальные тесты есть у кого-нибудь ? к примеру при трафе в 500мбит
К вопросу о ipfw nat подтолкнула загрузка в вечернее время {em0 taskq} - почти 100% На форуме nag.ru вычитал что это скорей всего из за pf nat ( он на em0 ) Всевозможные правки sysctl только немного снижали загрузку . Название: Re: ipfw nat Отправлено: VitalVas от 03 Августа 2010, 12:35:43 а реальные тесты есть у кого-нибудь ? к примеру при трафе в 500мбит а какие у тебя правила на пф?К вопросу о ipfw nat подтолкнула загрузка в вечернее время {em0 taskq} - почти 100% На форуме nag.ru вычитал что это скорей всего из за pf nat ( он на em0 ) Всевозможные правки sysctl только немного снижали загрузку . Название: Re: ipfw nat Отправлено: amasis от 03 Августа 2010, 13:37:46 Код: set loginterface em0 (используйте пожалуста кнопочку "Код") Название: Re: ipfw nat Отправлено: Elisium от 03 Августа 2010, 20:12:44 ты думаешь что только скоротсь трафа играет роль? могу поспорить-не справится даже с 100м . Что там с чем не справится то ?? "Пока Вы думаете, мы - делаем" (с) :) Натим примерно 1100-1500 МБт инета (в обе стороны) + БГП там же. Загрузка проца ДО 20% в самый пик. Кппсов пролетает до 200, в среднем 160. Само собой, полно торрентщиков итд. п.с. проц - 4хядерный ксеон 3ГГц )) Ядра загружены В ОСНОВНОМ пропорционально пробегающему через три сетевухи трафику, ибо каждая прибита к своему ядру. Расширим канал до 2х гиг - будет натить и три гига в обе стороны, никуда не денется. И никакого желания переходить на непонятные "преимущества" ipfw nat совсем не тянет. п.п.с. И да, натим юзеров в пул адресов. И еще напоследок: на наге уже писали, какой проц нужен, что бы отнатить гиг трафа без проблем. Сервак чисто под нат. И проц нужен совсем НЕ супернавороченый. Поиск рулит, ибо ссылки у меня не осталось. Название: Re: ipfw nat Отправлено: tipa_pasha от 03 Августа 2010, 22:29:03 ты думаешь что только скоротсь трафа играет роль? могу поспорить-не справится даже с 100м . Что там с чем не справится то ?? "Пока Вы думаете, мы - делаем" (с) :) Натим примерно 1100-1500 МБт инета (в обе стороны) + БГП там же. Загрузка проца ДО 20% в самый пик. Кппсов пролетает до 200, в среднем 160. Само собой, полно торрентщиков итд. п.с. проц - 4хядерный ксеон 3ГГц )) Ядра загружены В ОСНОВНОМ пропорционально пробегающему через три сетевухи трафику, ибо каждая прибита к своему ядру. Расширим канал до 2х гиг - будет натить и три гига в обе стороны, никуда не денется. И никакого желания переходить на непонятные "преимущества" ipfw nat совсем не тянет. п.п.с. И да, натим юзеров в пул адресов. И еще напоследок: на наге уже писали, какой проц нужен, что бы отнатить гиг трафа без проблем. Сервак чисто под нат. И проц нужен совсем НЕ супернавороченый. Поиск рулит, ибо ссылки у меня не осталось. Прошу прощения, ну зачем же людей путать? По той же ссылке с НАГ-а: http://www.nag.ru/articles/article/17045/shape-nat-netflow-na-bolshih-setyah-chast-1.html (http://www.nag.ru/articles/article/17045/shape-nat-netflow-na-bolshih-setyah-chast-1.html) русским по-белому написано, что больше 700 М или 100 kpps тазик, навороченный тазик через себя не пропустит, будет или в проц упираться, или рости потери на интерфейсах. И личный опыт подтверждает это. Так что или у Вас потери в сети от 15% или данные не совсем адекватные... Название: Re: ipfw nat Отправлено: ser970 от 04 Августа 2010, 12:02:19 ты думаешь что только скоротсь трафа играет роль? могу поспорить-не справится даже с 100м . Что там с чем не справится то ?? читай дальше что я писал в томже топике или хватает только на два предложения = буфер маленький? Название: Re: ipfw nat Отправлено: Elisium от 05 Августа 2010, 21:22:39 Эхх .. молодежж ...
Данные я беру НЕ с плевка в потолок, а с РЕАЛЬНО РАБОТАЮЩЕГО в данный момент шлюза. Шлюз у меня - это ШЭЙПЕР ипфв + НАТ. БГП вынес вот недавно на отдельную машинку. Шоб було. Куда уж адекватнее данные то брать ?? Для ser970: Ваши теории и "мегабольшой буфер" мне както по барабану. Я пишу то, что работает у меня В ДАННЫЙ МОМЕНТ, а не Ваши теоретические подвыперды. Какие статы с сервака привести, что бы Вы изобразили удивление гдето у себя на лице ?? Если Вы не можете понять фразу "В ОБЕ СТОРОНЫ", а не фулл дуплекс, это в 3й класс школы. Для tipa_pasha: Если Вы вдруг не заметили, то я всеми силами стараюсь не писать на форумах, если НЕ УВЕРЕН В ТОМ, что пишу. А если все таки НЕ уверен, то пишу "имхо". Или "ктото писал ..." Тоесть НЕ Я. Вы на показанную в ТОЙ СТАТЬЕ аппаратную платформу смотрели ?? Так вот, для ТОЙ (непонятно какой) платформы данные плюс/минус верные. Для новых процов статья уже слегонца устарела. Код: hw.model: Intel(R) Xeon(R) CPU E5520 @ 2.27GHz Вот прямо сейчас, когда пишу пост: п.с. это уже давно не ЧНН. Код: # pfctl -s info Название: Re: ipfw nat Отправлено: stix от 05 Августа 2010, 22:03:18 крези тюнеры детектед ;D
Название: Re: ipfw nat Отправлено: elite от 06 Августа 2010, 14:03:03 дефочки не ссорьтесь!
Название: ipfw nat Отправлено: randomizr от 29 Августа 2010, 02:21:44 Подскажите как можно в ipfw nat удалить все нат_правила одной командой
Название: Re: ipfw nat Отправлено: blackjack от 29 Августа 2010, 07:59:29 Код: cat nat.txt відправляєш все це в утилітку ipfw Код: ipfw /home/admin/nat.txt слід зауважити що шлях до файлу має бути абсолютним Название: Re: ipfw nat Отправлено: hayarm от 18 Сентября 2010, 17:01:29 Добрый день . Использует ли кто-нибудь ipfw nat ? Как впечатления ? Как реализовать с помощью ipfw nat "реальные ip" ? в pf это выглядело так: no nat on $IF_OUT from <reai_ip> to any Спасибо выжу уже забили вопрос! ну как же все таки реализовать с помощью ipfw nat "реальные ip" ? Название: Re: ipfw nat Отправлено: Elisium от 29 Сентября 2010, 21:18:31 Немного апну тему, в основном для себя (памятка ;)).
Да и все таки тема про НАТ. Там я выше писал, что несильно жирный сервак должен натить нехило трафа, а ссылку с нага я забыл. Так вот - нашел )) Вот ОНА (http://forum.nag.ru/forum/index.php?s=66e7fd2a6ba0d326a3bba32ccd0e8ddd&showtopic=44336&st=180). Основная соль вот: Цитировать jab В результате E8400 разогнанный до 3.4Ghz тянет в пике 800Mbps in + 800Mbps out при 200k states и 300k searches per second. И конечно net.isr.direct=0. Начнет загибаться - сменю на Core i7. |