форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / Linux)
Изначальное сообщение		[ Отслеживать ]

"Вопрос по iptables --SNAT"	+/–
Сообщение от feofs (ok) on 23-Фев-12, 12:27
Здравствуйте, разъясните пожалуйста один непонятный момент. Есть ADSL модем, за ним сервак со сквидом, и прочими сервисами. Вообщем ADSL дохловат и плохо справляется с наплывом NAT сессий, планируется перевести его на bridge. Вот собственно вопрос у нас есть только один реальный ip, для NAT переоброазования использую -o eth2 -J SNAT --to-soorce real_ip. Если я понимаю то таким макаром с одним реальным ip, iptables использует NAT с помощью перекрытия, значит фактически я не могу получить больше 65000 (т.е кол-ва портов) с мелочью сессий? Правильно я мыслю или нет?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Вопрос по iptables --SNAT"	+/–
Сообщение от Andrey Mitrofanov on 23-Фев-12, 13:18
> Если я понимаю то таким макаром с одним реальным ip, iptables использует > NAT с помощью перекрытия, значит фактически я не могу получить больше > 65000 (т.е кол-ва портов) с мелочью сессий? Правильно я мыслю или > нет? Не-а, не правильно. Математика сложная наука, но надо же себя заставлять~~ Для _всех своих клиентов за SNAT-ом/маскарадом на _одном исходящем белом ip получите не больше 65К (2^16-2^10 или типа того) соединений на _один порт _одного сервера (ip назначения). https://www.opennet.ru/opennews/art.shtml?num=29489#9 Это может показаться странным, но никакой драмы "OMFG, ктулху заховал все маи порты" не случилось.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Вопрос по iptables --SNAT"	+/–
	Сообщение от feofs (ok) on 23-Фев-12, 13:46
	>[оверквотинг удален] >> NAT с помощью перекрытия, значит фактически я не могу получить больше >> 65000 (т.е кол-ва портов) с мелочью сессий? Правильно я мыслю или >> нет? > Не-а, не правильно. Математика сложная наука, но надо же себя заставлять~~ > Для _всех своих клиентов за SNAT-ом/маскарадом на _одном исходящем белом ip получите > не больше 65К (2^16-2^10 или типа того) соединений на _один порт > _одного сервера (ip назначения). > https://www.opennet.ru/opennews/art.shtml?num=29489#9 > Это может показаться странным, но никакой драмы "OMFG, ктулху заховал все маи > порты" не случилось. Т.е, если я правильно понял, если например 65тыс с гаком компов за SNAT захотят открыть по 1 соединению например на 11.12.13.14 80, то это и будет ограничение, т.е 65 какой-то там комп на этот 11.12.13.14 80 уже не пройдет, но на другой внешний ip может ломится свободно. Т.е для средней сети, это ограничения не представляет. И общее кол-во открытых сессий упирается в объем ОЗУ?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Вопрос по iptables --SNAT"	+/–
	Сообщение от sdog (ok) on 23-Фев-12, 14:50
	скорее в линк ADSL'а упрётся. кстати на ADSL'e хорошо делать приоритезацию ACK пакетов Assigning TCP ACK packets to a higher priority queue is useful on asymmetric connections, that is, connections that have different upload and download bandwidths such as ADSL lines. With an ADSL line, if the upload channel is being maxed out and a download is started, the download will suffer because the TCP ACK packets it needs to send will run into congestion when they try to pass through the upload channel. Testing has shown that to achieve the best results, the bandwidth on the upload queue should be set to a value less than what the connection is capable of. For instance, if an ADSL line has a max upload of 640Kbps, setting the root queue's bandwidth to a value such as 600Kb should result in better performance. Trial and error will yield the best bandwidth setting.   Результат: http://www.benzedrine.cx/ackpri.html
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Вопрос по iptables --SNAT"	+/–
	Сообщение от feofs (ok) on 23-Фев-12, 14:58
	Т.е в ограничение по портам на серваке не упрется. Значит утверждение что 65К -это ограничение соединений на _один порт _одного сервера (ip назначения)правильно? Т.к я думал что это вообще общее кол-во сессий.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Вопрос по iptables --SNAT"	+/–
	Сообщение от sdog (ok) on 23-Фев-12, 15:52
	> Т.е в ограничение по портам на серваке не упрется. > Значит утверждение что 65К -это ограничение соединений на _один порт _одного сервера > (ip назначения)правильно? Т.к я думал что это вообще общее кол-во сессий. yep, 2^16-2^10 соединений на каждый порт IP адреса.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Вопрос по iptables --SNAT"	+/–
	Сообщение от feofs (ok) on 23-Фев-12, 17:24
	>> Т.е в ограничение по портам на серваке не упрется. >> Значит утверждение что 65К -это ограничение соединений на _один порт _одного сервера >> (ip назначения)правильно? Т.к я думал что это вообще общее кол-во сессий. > yep, 2^16-2^10 соединений на каждый порт IP адреса. Спасибо, разъяснили.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Вопрос по iptables --SNAT"	+/–
Сообщение от LSTemp (ok) on 02-Мрт-12, 00:46
---
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема