Закончились ли свободные порты, nat на 1 реальный адрес

[freebsdator]

Доброго времени суток!
Freebsd 8.3 release, конфигурация ipfw и nat как тут http://www.lissyara.su/articles/freebsd ... #example_2
1000 пользователей и канал 100 мбит.
Периодически у произвольных пользователей перестает работать интернет.
Предположение - заканчиваются свободные порты в диапазоне 1024-65535 (sysctl net.inet.ip.portrange.first=1024).
Что сделать, чтобы гарантированно узнать о том что порты действительно кончились ?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[терминус]

вы можете посмотреть вывод

Код: Выделить всё

ipfw nat 1 show

там будут сведения о количестве сессий в НАТ таблице.
nat должен быть запущен с опцией log

еще вариант - попробуйте, если вас это не затруднит, перейти на ng_nat
http://www.lissyara.su/articles/freebsd/tuning/ng_nat/
практика показывает что он "менее глючен".

[freebsdator]

Имею такую статистику, это много или мало ?

Код: Выделить всё

ipfw nat 1 show
icmp=0, udp=1658, tcp=103571, sctp=0, pptp=0, proto=0, frag_id=29 frag_ptr=0 / tot=105258

И это при том что сейчас сделал

Код: Выделить всё

allow ip from any to any 20,21,22,23,53,80,443,3389,8080,8081,5190

а раньше были все порты разрешены.
На другом форуме посоветовали

Код: Выделить всё

Check "/var/log/messages" and look for "ip_conntrack Table full. Dropping packet"

но в логах такого нет.

[терминус]

Код: Выделить всё

tcp=103571

многовато TCP сессий в таблице... Можно попробовать ввести лимиты на количество TCP/UDP сессий для одного IP клиента - чтобы каждый не мог открыть, скажем больше 100.


смотрите что показывает вывод:

Код: Выделить всё

vmstat -m | grep libalias

а так же то сколько у вас доступно памяти для ядра:

Код: Выделить всё

sysctl -a | grep vm.kmem_size

архитектура у вас какая - 32-bit или 64-bit?

[freebsdator]

vmstat -m | grep libalias

Код: Выделить всё

libalias 242760 30409K       - 191639475  128

sysctl -a | grep vm.kmem_size

Код: Выделить всё

vm.kmem_size_scale: 3
vm.kmem_size_max: 335544320
vm.kmem_size_min: 0
vm.kmem_size: 335544320

архитектура у вас какая - 32-bit или 64-bit?

32

[freebsdator]

Можно попробовать ввести лимиты на количество TCP/UDP сессий для одного IP клиента - чтобы каждый не мог

Пробовал уже, на udp как я понял limit не действует, т.к. нет факта установки соединения, вводил на tcp 20 или 30 на пользователя не помогало.
В принципе есть еще 2 реальных адреса (всего их 3), тоже пробовал делать как описано на этом сайте с помощью prob http://www.lissyara.su/articles/freebsd ... #example_7. Появилась проблема что с вероятностью 1/3 не работает видео вконтакте. Думаю делать нат на 2 адреса благо есть 2 подсети как раз. Что-то наподобие

Код: Выделить всё

ipfw add nat 1 ip from 192.168.1.0/24 to any out
ipfw add nat 1 ip from any to 1.2.3.4 in

ipfw add nat 2 ip from 192.168.2.0/24 to any out
ipfw add nat 2 ip from any to 1.2.3.5 in