Биллинговая система Nodeny
22 Ноября 2024, 22:38:02 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
Новости: Прекращена поддержка версии Nodeny 49
 
   Начало   Помощь Поиск Войти Регистрация  
Страниц: [1] 2
  Печать  
Автор Тема: ipfw nat  (Прочитано 14333 раз)
amasis
NoDeny
Пользователь
*

Карма: 0
Offline Offline

Сообщений: 14


Просмотр профиля
« : 02 Августа 2010, 09:57:09 »

Добрый день .
 Использует ли кто-нибудь ipfw nat ?  Как впечатления ?
Как реализовать с помощью ipfw nat "реальные ip" ?
в pf это выглядело так:
no nat on $IF_OUT from <reai_ip> to any

Спасибо
Записан
stix
NoDeny
Спец
*

Карма: 72
Offline Offline

Сообщений: 1872


Nodeny Support Team

205539
Просмотр профиля
« Ответ #1 : 02 Августа 2010, 10:19:54 »

Добрый день .
 Использует ли кто-нибудь ipfw nat ?  Как впечатления ?
Как реализовать с помощью ipfw nat "реальные ip" ?
в pf это выглядело так:
no nat on $IF_OUT from <reai_ip> to any

Спасибо
а зачем nonat делать в pf?
это ведь исключающее правило
можно ведь просто сделать правила нат для серых сетей?
для бината разве что

ipfw3 вроде модный
Записан
ser970
NoDeny
Спец
*

Карма: 70
Offline Offline

Сообщений: 1323

262462619
Просмотр профиля Email
« Ответ #2 : 02 Августа 2010, 11:28:36 »

Использует ли кто-нибудь ipfw nat ?  Как впечатления ?
шутрее работает. всетаки кернерленд.

Как реализовать с помощью ipfw nat "реальные ip" ?
в pf это выглядело так:
no nat on $IF_OUT from <reai_ip> to any

не понятен смыс правила.
если зверь имеет на компе реал то просто пропускаешь пакеты
если проборос то тут надо чуть исходники поправить - там буфер под переменую мало - гдето на 10-15 правил - поправишь можно буде больше всунуть.
Записан
amasis
NoDeny
Пользователь
*

Карма: 0
Offline Offline

Сообщений: 14


Просмотр профиля
« Ответ #3 : 02 Августа 2010, 15:06:48 »


шутрее работает. всетаки кернерленд.


А если сравнивать с pf nat ?
Записан
ser970
NoDeny
Спец
*

Карма: 70
Offline Offline

Сообщений: 1323

262462619
Просмотр профиля Email
« Ответ #4 : 02 Августа 2010, 17:08:30 »


шутрее работает. всетаки кернерленд.


А если сравнивать с pf nat ?

ну как еще ответить ?
повторя. еще раз.
ipfw_nat  быстрее  pf nat 
Записан
blackjack
NoDeny
Старожил
*

Карма: 24
Offline Offline

Сообщений: 352


Просмотр профиля Email
« Ответ #5 : 02 Августа 2010, 18:08:35 »

я використовую ipfw nat + таблиці.
Цитировать
ipfw_nat  быстрее  pf nat 
тіпа трохи шустріший, якшо вірити шо він мультипроцесорний. Реальних бенчмарків я не бачив ні разу і сам не проводив, крім статті про нат і нетфлоу на наг.ру.
Записан
Elisium
NoDeny
Старожил
*

Карма: 19
Offline Offline

Сообщений: 360


На форумах "спасибом" называется плюс к карме.


Просмотр профиля
« Ответ #6 : 02 Августа 2010, 21:00:05 »

Гдето на наге уже писали, что на скоростях до пары гигабит ПФ хватает за глаза, а на бОльших скоростях обычно уже нат не используют, выдают реальники.
Записан
stix
NoDeny
Спец
*

Карма: 72
Offline Offline

Сообщений: 1872


Nodeny Support Team

205539
Просмотр профиля
« Ответ #7 : 02 Августа 2010, 21:22:25 »

Основная загвоздка в том, что pf по слухам не работает с SMP, т.к. портирован давно из OpenBSD
pf удобен, в этом его огромный плюс
Записан
ser970
NoDeny
Спец
*

Карма: 70
Offline Offline

Сообщений: 1323

262462619
Просмотр профиля Email
« Ответ #8 : 03 Августа 2010, 08:32:32 »

Гдето на наге уже писали, что на скоростях до пары гигабит ПФ хватает за глаза, а на бОльших скоростях обычно уже нат не используют, выдают реальники.
ты думаешь что только скоротсь трафа играет роль? могу поспорить-не справится даже с 100м .кроме тсп (где есть кадр окна) есть еще и куча других протоколов где его нет.
скажем так
100м инфы по тсп  и 100м по удп могут создать нагрузку в несколко порядков отличну.
пф удобен - да но именно не натом - там есть другие функции.
почитайте маны про ipfw_nat посмотрите исходники.


з.ы. если бы в доке вместо pf был бы ipfw_nat  то про удобстово былобы на оборот.
   
 
Записан
stix
NoDeny
Спец
*

Карма: 72
Offline Offline

Сообщений: 1872


Nodeny Support Team

205539
Просмотр профиля
« Ответ #9 : 03 Августа 2010, 08:36:26 »

просто удобно pfctl перегружать не дергая основные сессии форварда или по аналогии таблицы filters
а так да...это дело привычки
лучше уметь делать во всем делать и через нетграф и кернел натом
Записан
elite
Начальник планеты
NoDeny
Спец
*

Карма: 52
Offline Offline

Сообщений: 1226

In LAN we trust!

358714596
Просмотр профиля
« Ответ #10 : 03 Августа 2010, 09:05:58 »

в пф очень удобно натить в пул реальных ип Улыбающийся)
Записан
ser970
NoDeny
Спец
*

Карма: 70
Offline Offline

Сообщений: 1323

262462619
Просмотр профиля Email
« Ответ #11 : 03 Августа 2010, 09:21:26 »

в пф очень удобно натить в пул реальных ип Улыбающийся)
угу а ipfw_nat  нетак просто - но по скорости  и нагрузке на сервак....
Записан
amasis
NoDeny
Пользователь
*

Карма: 0
Offline Offline

Сообщений: 14


Просмотр профиля
« Ответ #12 : 03 Августа 2010, 11:56:05 »

а реальные тесты есть у кого-нибудь ? к примеру при трафе в 500мбит
К вопросу о ipfw nat  подтолкнула загрузка в вечернее время  {em0 taskq} - почти 100%
На форуме nag.ru  вычитал что это скорей всего из за pf nat ( он на em0 )
Всевозможные правки sysctl  только немного снижали загрузку .
Записан
VitalVas
NoDeny
Спец
*

Карма: 60
Offline Offline

Сообщений: 991



Просмотр профиля WWW
« Ответ #13 : 03 Августа 2010, 12:35:43 »

а реальные тесты есть у кого-нибудь ? к примеру при трафе в 500мбит
К вопросу о ipfw nat  подтолкнула загрузка в вечернее время  {em0 taskq} - почти 100%
На форуме nag.ru  вычитал что это скорей всего из за pf nat ( он на em0 )
Всевозможные правки sysctl  только немного снижали загрузку .
а какие у тебя правила на пф?
Записан
amasis
NoDeny
Пользователь
*

Карма: 0
Offline Offline

Сообщений: 14


Просмотр профиля
« Ответ #14 : 03 Августа 2010, 13:37:46 »

Код:
set loginterface em0                                                                                                                                                                                       
set limit { states 1000000, frags 5000 }                                                                                                                                                                  
set optimization aggressive    

#Table LocalNet                                                                                                                                                                                            
table <localnet> const {10.0.0.1/20}                                                                                                                                
                                                                                                                                                                
                                                                                                                                                                                                          
#nat inet                                                                                                                                                                                                  
nat on $IF_OUT from <localnet>  to any -> $OUT_IP  

(используйте пожалуста кнопочку "Код")
« Последнее редактирование: 03 Августа 2010, 17:37:34 от VitalVas » Записан
Страниц: [1] 2
  Печать  
 
Перейти в:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.20 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!