pf + nat и не только.

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Spank
мл. сержант
Сообщения: 106
Зарегистрирован: 2009-04-16 0:28:05

pf + nat и не только.

Непрочитанное сообщение Spank » 2010-03-11 23:43:22

Использую на серве pf nat, вот примерный конфиг:

Код: Выделить всё

nat pass on $IF_Inet from { $Local_IP } to { !<PPPoE_Nets> } -> $Inet_NAT_IP source-hash
Но возникает такая проблемка, когда сервак в часы пик натит объем трафа в районе 100 мегабит, появляются затыки, то есть страничка сначала секунду-две тупит, а потом пролетает сразу вся. С внешними ипами, что идут через тот же пппое сервак но без ната, вроде как все впоряде. Пинги отлично ходят. Так же там шейпер ng_car прикручен. Вот и не знаю на что грешить, кто такие задержи создает совершенно не понятно. Есть еще подозрение, что канал в потолке, но тут опять же когда еще пара тройка мегабит свободна есть, та же картина. Если не через пппое сервак, а на пряму в киску, то никаких задержек нет и все в порядке... Система FreeBSD 7.2 stable . Может как что потюнить еще можно? Уже даже не знаю куда копать. Можно было бы нат от ядра использовать но он не может привязки к ип адресам внутренним делать и подсети вроде как тоже указывать...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Qaz
мл. сержант
Сообщения: 113
Зарегистрирован: 2007-02-17 1:24:39
Контактная информация:

Re: pf + nat и не только.

Непрочитанное сообщение Qaz » 2010-03-12 9:37:17

Код: Выделить всё

pfctl -sa|wc -l
что говорит?
ну и какой стоит

Код: Выделить всё

set optimization

Spank
мл. сержант
Сообщения: 106
Зарегистрирован: 2009-04-16 0:28:05

Re: pf + nat и не только.

Непрочитанное сообщение Spank » 2010-03-12 10:51:16

Это данные днем, вечером будет раза в 4 - 5 выше нагрузка...

Код: Выделить всё

pfctl -sa|wc -l
9263
Я так пологаю "states hard limit 10000" ограничивает эти состояния до 10000. А ведь у меня там еще правила с состояниями будут... Нуно бы увеличить на нолик? А какие еще лимиты увеличить бы?

Чет не нашел как вывести опции, но так полагаю рас я не ставил optimization напрямую в конфиге, тогда она выставлена в "normal"

Есть так же вопрос. Создаю правило

Код: Выделить всё

pass out quick on $IF_Inet from { $Real_IP } to { !<PPPoE_Nets> }
А вот по pfctl -s rules вижу, что к нему добавляется flags S/SA keep state. Как бы убрать обработку состояний эту? Кому нужно я ручками поставлю...
А еще можно как нить настроить пф что бы он ссессии ssh не рвал при рестарте?

Qaz
мл. сержант
Сообщения: 113
Зарегистрирован: 2007-02-17 1:24:39
Контактная информация:

Re: pf + nat и не только.

Непрочитанное сообщение Qaz » 2010-03-12 11:24:02

Ну, можеш поставить:

Код: Выделить всё

set limit { states 500000, frags 30000 }
set optimization normal
и добавить в правило

Код: Выделить всё

pass out quick on $IF_Inet from { $Real_IP } to { !<PPPoE_Nets> } no state
Ну и как вариант поставить клиента который натится без шейпов.

Spank
мл. сержант
Сообщения: 106
Зарегистрирован: 2009-04-16 0:28:05

Re: pf + nat и не только.

Непрочитанное сообщение Spank » 2010-03-12 13:33:21

Вроде все сделал, вечерком потестим...

Spank
мл. сержант
Сообщения: 106
Зарегистрирован: 2009-04-16 0:28:05

Re: pf + nat и не только.

Непрочитанное сообщение Spank » 2010-03-13 1:08:38

Вроде все стало гладко и красиво, спасибо за помощь :)...