Увеличение количество записей в таблице трансляции (ipnat)

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
nikodim
мл. сержант
Сообщения: 77
Зарегистрирован: 2007-09-20 21:28:49
Откуда: Чернигов, Украина
Контактная информация:

Увеличение количество записей в таблице трансляции (ipnat)

Непрочитанное сообщение nikodim » 2010-11-11 16:12:08

есть маршрутер под FreeBSD 8.1 на нем: ipnat+ipfw+pipe. Все работает, в инет ходит примерно машин 20. Есть любители покачать с сайтов с именами *torent*. Количество записей в таблице трансляции только 30 000, по этому даже при слабой нагрузке канала свободных всего 80-100. Нашел решение для этого:

Код: Выделить всё

ipfilter_enable="YES"
ipfilter_rules="/etc/ipf.rules"
ipfilter_flags="-D -T ipf_nattable_sz=10009,ipf_nattable_max=300000 -E"
ipnat_enable="YES"
ipnat_rules="/etc/ipnat.rules"
Два вопроса:
1. Как с помощье ipf нарезать каналы.
2. Если нельзя, то как увеличить количество записей в таблице трансляции. (Пробовал /usr/src/sys/contrib/ipfilter/netinet/ip_nat.h, ищем словосочетание #undefine LARGE_NAT (#undef LARGE_NAT) и меняем на #define LARGE_NAT, пересобрал ядро).
Положительные эмоции - это эмоции, которые возникают, если на всё положить. :)

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Dog
лейтенант
Сообщения: 723
Зарегистрирован: 2006-09-21 10:34:36
Откуда: Kharkiv, Ukraine
Контактная информация:

Re: Увеличение количество записей в таблице трансляции (ipna

Непрочитанное сообщение Dog » 2010-11-11 17:17:56

Насколько я знаю, нарезать каналы ipf не умеет. Правда, подобные схемы вида "файрволим одним, натим другим" использовать не приходилось со времен 5-ки или 6-ки, после того как появился kernel nat (сначала через netgraph) и был портирован pf. Делал конфиги либо полностью на pf, либо полностью на ipfw.
Насчет увеличения количества записей - пардон, не знаю.
Oh my God, they killed init! Bastards!

Аватара пользователя
skeletor
майор
Сообщения: 2481
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: Увеличение количество записей в таблице трансляции (ipna

Непрочитанное сообщение skeletor » 2010-11-12 9:54:17

Что касается п2, то почитай, ДО КОНЦА мою заметку (с чем мне пришлось столкнуться) http://skeletor.org.ua/?p=101
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

Shuriks
проходил мимо

Re: Увеличение количество записей в таблице трансляции (ipna

Непрочитанное сообщение Shuriks » 2010-11-12 11:19:26

А почему бы просто не ограничить количество соединений для торрентов?
В моем случае реализовано так:

Код: Выделить всё

fw="/sbin/ipfw -q"
lan1="192.168.1.0/24"
inet="not 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8,169.254.0.0/16,224.0.0.0/4"
safe_ports="25,53,80,110,123,443,5190,5222,8080"
...
$fw add 4000 check-state
...
$fw add 8000 allow ip from $lan1 to $inet $safe_ports
$fw add 8100 allow ip from $inet $safe_ports to $lan1 
$fw add 8200 allow ip from $lan1 to $inet setup limit src-addr 50 
Пояснение:
Правилами 8000 и 8100 разрешаем соединение с объектами не создающими большое количество соединений. По вкусу можно в safe_ports добавить свои порты. А правилом 8200 ограничиваем количество остальных соединений, под которое попадут все торренты.