Замена демона NATD

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
super-fox
мл. сержант
Сообщения: 143
Зарегистрирован: 2008-04-09 1:20:25

Замена демона NATD

Непрочитанное сообщение super-fox » 2009-05-27 23:27:19

Здраствуйте всем! Столкнулся с такой проблемкой, есть роутер на freebsd, стоит там IPFW+NATD, под вечерок, когда много народу юзает NATD загружает процессор на 60-80% , пришла пора мне собрать в ядре nat, прошу поделиться опытом, кто что использует для трансляции пакетов?
Изображение

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35170
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Замена демона NATD

Непрочитанное сообщение Alex Keda » 2009-05-28 0:28:19

Juniper
Убей их всех! Бог потом рассортирует...

Аватара пользователя
super-fox
мл. сержант
Сообщения: 143
Зарегистрирован: 2008-04-09 1:20:25

Re: Замена демона NATD

Непрочитанное сообщение super-fox » 2009-05-28 1:06:57

Спасибо, мне бы бюджетный вариант :) Я думаю что если нат загрузить не как модуль, а скомпилить в ядре, то производительность будет намного лучше.
Изображение

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Замена демона NATD

Непрочитанное сообщение princeps » 2009-05-28 8:51:24

я юзаю ipfw с kernel nat и pf.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

ViktorichZ
сержант
Сообщения: 152
Зарегистрирован: 2008-10-30 12:15:26

Re: Замена демона NATD

Непрочитанное сообщение ViktorichZ » 2009-05-28 10:18:10

имхо самое самое на сегодняшний день ng_nat

Аватара пользователя
buryanov
ст. сержант
Сообщения: 311
Зарегистрирован: 2008-04-29 13:41:48
Откуда: Харьков
Контактная информация:

Re: Замена демона NATD

Непрочитанное сообщение buryanov » 2009-05-28 13:52:22

Если будет дцать nat"ов, то

Код: Выделить всё

/usr/src/sys/netinetip_fw.h
#define NAT_BUF_LEN     1024
меняешь на чтото вроде

Код: Выделить всё

#define NAT_BUF_LEN     2*1024
или

Код: Выделить всё

#define NAT_BUF_LEN     4*1024
и пересобираешь ядро
Дмитрий.
buryanov*ukr.net
icq# 118639660; skype: buryanov

Аватара пользователя
super-fox
мл. сержант
Сообщения: 143
Зарегистрирован: 2008-04-09 1:20:25

Re: Замена демона NATD

Непрочитанное сообщение super-fox » 2009-05-28 13:55:57

nat у меня один, говорят pf собраный в ядре отлично работает, может кто покажет конфиги?
Изображение

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Замена демона NATD

Непрочитанное сообщение princeps » 2009-05-28 15:03:34

nat в ipfw, собранный в ядре, тоже работает нормально. Раз у тебя уже стоит ipfw, то стоит ли заморачиваться с pf?
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
buryanov
ст. сержант
Сообщения: 311
Зарегистрирован: 2008-04-29 13:41:48
Откуда: Харьков
Контактная информация:

Re: Замена демона NATD

Непрочитанное сообщение buryanov » 2009-05-28 15:59:16

Если будешь делать port/proto/address_redirect > 16 раз, то тогда понадобится это
у меня сделано так

Код: Выделить всё

${FwCMD} nat 4 config ip ${ip_nat33}
${FwCMD} add nat 4 all from ${lan} to any out via ${ifwan}
${FwCMD} add nat 4 all from any to ${ip_nat33} in via ${ifwan}
Дмитрий.
buryanov*ukr.net
icq# 118639660; skype: buryanov

Аватара пользователя
super-fox
мл. сержант
Сообщения: 143
Зарегистрирован: 2008-04-09 1:20:25

Re: Замена демона NATD

Непрочитанное сообщение super-fox » 2009-05-28 18:01:51

princeps, может покажеш конфиги, как єто все правильно стелать с natd, или ссылку на статейку даш?

buryanov, а зачем столько натов? Зачем их вообще столько?
Изображение

Аватара пользователя
buryanov
ст. сержант
Сообщения: 311
Зарегистрирован: 2008-04-29 13:41:48
Откуда: Харьков
Контактная информация:

Re: Замена демона NATD

Непрочитанное сообщение buryanov » 2009-05-29 0:54:29

super-fox писал(а):а зачем столько натов? Зачем их вообще столько
У меня 4 ip на инрерфейсе, 2 провайдера + ngх. Разные чтоб было проще, есть удалённый ip, и к нему мы конектимся чемто(это уже кто,чем из пользователей), а на удалённой стороне прописан portmapping в зависимости от моего адреса, проэктов несколько таких, плюс, исходя из горького опыта командаровок, частенько у людей открыт только 80,443 порты, и у меня на 443 висит ssh, который мапится в локалку на сервак, потом на другом ip на 443 висит OWA,OMA, на ещё одном 443 ClearQuest и так далее
И получается проще, когда надо закрыть или открыть доступ или поменять настройки я перезагружаю именно для него фаер и нат соответственно. Но в этом методе тоже есть свои нюансы, очень легко запутатся, что где натится и куда должно возвращатся
Дмитрий.
buryanov*ukr.net
icq# 118639660; skype: buryanov

Аватара пользователя
super-fox
мл. сержант
Сообщения: 143
Зарегистрирован: 2008-04-09 1:20:25

Re: Замена демона NATD

Непрочитанное сообщение super-fox » 2009-05-29 1:36:23

buryanov, спасибо за обьяснение, а можно например сделать так, что-бы пользователи попадали рандом на какой-то нат с определенным внешним ай пи? А то с рапидами да депозитами туговато :smile:
Изображение

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35170
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Замена демона NATD

Непрочитанное сообщение Alex Keda » 2009-05-30 19:39:58

super-fox писал(а):Спасибо, мне бы бюджетный вариант :)
ну, вы спросили кто что юзает - я вам ответил
Убей их всех! Бог потом рассортирует...

qwe
рядовой
Сообщения: 35
Зарегистрирован: 2008-07-29 10:40:42
Откуда: Симферополь
Контактная информация:

Re: Замена демона NATD

Непрочитанное сообщение qwe » 2009-05-31 17:35:42

Реализация с pf.

Код: Выделить всё

/boot/loader.conf
pf_load="YES"

/etc/rc.conf
pf_enable="YES"

/etc/pf.conf
set limit states 30000
set optimization normal
set skip on lo0
scrub in all

nat on <имя_интерфейса, через который уходит на дефолт роут> from <серые адреса, которые нужно натить> to any -> <ip, на который натим>

pass all no state

Пример строки с nat:

Код: Выделить всё

nat on vlan200 from 10.10.1.0/24 to any -> 21.21.21.21
Последний раз редактировалось paradox 2009-05-31 17:39:03, всего редактировалось 1 раз.
Причина: хоть иногда [code] юзайте