OpenForum RSS: FreeBsd pipe + Natd. Пакеты попадают в трубу но не возвращаются https://opennet.ru/openforum/vsluhforumID1/84062.html Добрый день.<br>Есть необходимость в ограничении полосы для большого количества пользователей (600-700 одновременно работающих):<br>Используется FreeBsd 6.2 + pipes + natd.<br>IPFW :<br>#!/bin/sh<br>#Quietly flush out rules<br>#/usr/local/etc/list_tmp/ua.sh<br>/sbin/ipfw -q -f flush<br> cmd="/sbin/ipfw add"<br> fwcmd="/sbin/ipfw"<br> oif="em0" #External<br> iif="em1" #Internal<br> skip="skipto 800"<br><br> $cmd allow ip from any to any via lo0<br> $cmd deny ip from any to 127.0.0.0/8<br> $cmd deny log ip from 127.0.0.0/8 to any<br><br> $cmd allow tcp from any to any 80 in via $oif<br> $cmd allow tcp from any to any 22 in via $oif setup keep-state<br><br><br>#FTP<br> $cmd allow tcp from any to any 20,21 in via $oif<br> $cmd pass tcp from any to me 50000-59999 setup<br>#NTP<br> $cmd allow udp from any to any 123 out via $oif<br> $cmd allow udp from 83.218.226.67 to any in via $oif<br>#DNS external<br><br> $cmd allow udp from any to any 53 in via $oif<br><br><br># $cmd allow tcp from any to FreeBsd pipe + Natd. Пакеты попадают в трубу но не возвращаю... (Kris) https://opennet.ru/openforum/vsluhforumID1/84062.html#7 Wed, 11 Feb 2009 17:41:11 GMT &gt;[оверквотинг удален]<br>&gt;&gt;ipfw add divert 8668 ip from ${my_lan} in via ${iif} <br>&gt;&gt;<br>&gt;&gt;А natd уже сам разберётся какой из них куда пересылать. <br>&gt;&gt;<br>&gt;&gt;И ещё одно: использовать natd на таком количестве клиентов (600-700) не рекомендую. Во-первых, это демон, и работает он в user-space. Соответственно, только на переключение контекстов kernel-space &lt;-&gt; user-space уйдёт значительная часть ресурсов машины. Во-вторых, при большом кол-ве одновременных сессий машина обязательно заткнётся при достижении макс. кол-ва открытых соединений (демон-то сокет открывает). Вопшем, рекомендую в таком случае юзать ipnat.<br>&gt;<br>&gt;Упс... сорри, второй диверт есть, сразу не заметил: <br>&gt;<br>&gt;01400 17 3333 <br>&gt;divert 8668 ip from any to me in via em0 <br><br>Применил pf для ната <br>/etc/pf.conf<br><br>ext_if="em0" <br>int_if="em1" <br><br>table &lt;localnet&gt; { 192.168.32.0/24 }<br>nat on $ext_if from &lt;localnet&gt; to any -&gt; ($ext_if)<br><br><br>Инет на самой фре есть. Но пакеты от клиентов почему то не натятся ....<br><br> FreeBsd pipe + Natd. Пакеты попадают в трубу но не возвращаю... (Kris) https://opennet.ru/openforum/vsluhforumID1/84062.html#6 Wed, 11 Feb 2009 16:00:25 GMT &gt;&gt;<br>&gt;&gt;Упс... сорри, второй диверт есть, сразу не заметил: <br>&gt;&gt;<br>&gt;&gt;01400 17 3333 <br>&gt;&gt;divert 8668 ip from any to me in via em0 <br>&gt;<br>&gt;Всё дело может быть в позиции правил. Попробуйте переместить все правила <br>&gt;шейпинга после правил диверта. <br><br>Если я так сделаю, то боюсь, что входящий траффик на будет шейпится (попадать в трубу) .... Специально сделал out --- natd --- in<br> FreeBsd pipe + Natd. Пакеты попадают в трубу но не возвращаю... (Kris) https://opennet.ru/openforum/vsluhforumID1/84062.html#5 Wed, 11 Feb 2009 15:58:18 GMT &gt;[оверквотинг удален]<br>&gt;0 divert 8668 ip from any to 10.1.100.2 in via em0 <br>&gt;<br>&gt;<br>&gt;em0 - внешняя карточка <br>&gt;table(1) - локалка <br>&gt;<br>&gt;И не ловит :(. Может потому что пакеты в трубе ? Но <br>&gt;какая разница если <br>&gt;net.inet.ip.fw.one_pass=0 <br>&gt;Пакеты все равно опускаться должны на диверт .... <br><br>Не пугайтесь .... 10.1.100.2 --- внешний адрес :)<br><br><br> FreeBsd pipe + Natd. Пакеты попадают в трубу но не возвращаю... (Kris) https://opennet.ru/openforum/vsluhforumID1/84062.html#4 Wed, 11 Feb 2009 15:57:09 GMT &gt;[оверквотинг удален]<br>&gt;&gt;ipfw add divert 8668 ip from ${my_lan} in via ${iif} <br>&gt;&gt;<br>&gt;&gt;А natd уже сам разберётся какой из них куда пересылать. <br>&gt;&gt;<br>&gt;&gt;И ещё одно: использовать natd на таком количестве клиентов (600-700) не рекомендую. Во-первых, это демон, и работает он в user-space. Соответственно, только на переключение контекстов kernel-space &lt;-&gt; user-space уйдёт значительная часть ресурсов машины. Во-вторых, при большом кол-ве одновременных сессий машина обязательно заткнётся при достижении макс. кол-ва открытых соединений (демон-то сокет открывает). Вопшем, рекомендую в таком случае юзать ipnat.<br>&gt;<br>&gt;Упс... сорри, второй диверт есть, сразу не заметил: <br>&gt;<br>&gt;01400 17 3333 <br>&gt;divert 8668 ip from any to me in via em0 <br><br>У меня сейчас связка <br>01300 0 0 divert 8668 ip from table(1) to any out via em0<br>01400 0 0 divert 8668 ip from any to 10.1.100.2 in via em0<br><br>em0 - внешняя карточка<br>table(1) - локалка<br><br>И не ловит :(. Может потому что пакеты в трубе ? Но какая разница если FreeBsd pipe + Natd. Пакеты попадают в трубу но не возвращаю... (ronin) https://opennet.ru/openforum/vsluhforumID1/84062.html#3 Wed, 11 Feb 2009 15:56:59 GMT &gt;<br>&gt;Упс... сорри, второй диверт есть, сразу не заметил: <br>&gt;<br>&gt;01400 17 3333 <br>&gt;divert 8668 ip from any to me in via em0 <br><br>Всё дело может быть в позиции правил. Попробуйте переместить все правила шейпинга после правил диверта. <br> FreeBsd pipe + Natd. Пакеты попадают в трубу но не возвращаю... (ronin) https://opennet.ru/openforum/vsluhforumID1/84062.html#2 Wed, 11 Feb 2009 15:43:52 GMT &gt;[оверквотинг удален]<br>&gt;divert 8668 ip from any to me in via em0 <br>&gt;<br>&gt;это правило направляет на natd пакеты, приходящие снаружи. Но таким же макаром <br>&gt;надо дивертать пакеты, идущие изнутри наружу. Что-то вроде этого: <br>&gt;<br>&gt;ipfw add divert 8668 ip from ${my_lan} in via ${iif} <br>&gt;<br>&gt;А natd уже сам разберётся какой из них куда пересылать. <br>&gt;<br>&gt;И ещё одно: использовать natd на таком количестве клиентов (600-700) не рекомендую. Во-первых, это демон, и работает он в user-space. Соответственно, только на переключение контекстов kernel-space &lt;-&gt; user-space уйдёт значительная часть ресурсов машины. Во-вторых, при большом кол-ве одновременных сессий машина обязательно заткнётся при достижении макс. кол-ва открытых соединений (демон-то сокет открывает). Вопшем, рекомендую в таком случае юзать ipnat.<br><br>Упс... сорри, второй диверт есть, сразу не заметил:<br><br>01400 17 3333 divert 8668 ip from any to me in via em0<br><br> FreeBsd pipe + Natd. Пакеты попадают в трубу но не возвращаю... (ronin) https://opennet.ru/openforum/vsluhforumID1/84062.html#1 Wed, 11 Feb 2009 15:07:42 GMT Кажется дело не в пайпе, а в диверте. Точнее его отсутствии.<br><br>01400 17 3333 divert 8668 ip from any to me in via em0<br><br>это правило направляет на natd пакеты, приходящие снаружи. Но таким же макаром надо дивертать пакеты, идущие изнутри наружу. Что-то вроде этого:<br><br>ipfw add divert 8668 ip from ${my_lan} in via ${iif}<br><br>А natd уже сам разберётся какой из них куда пересылать.<br><br>И ещё одно: использовать natd на таком количестве клиентов (600-700) не рекомендую. Во-первых, это демон, и работает он в user-space. Соответственно, только на переключение контекстов kernel-space &lt;-&gt; user-space уйдёт значительная часть ресурсов машины. Во-вторых, при большом кол-ве одновременных сессий машина обязательно заткнётся при достижении макс. кол-ва открытых соединений (демон-то сокет открывает). Вопшем, рекомендую в таком случае юзать ipnat.<br><br>