- Закончились ли свободные порты, nat на 1 реальный адрес, AdVv, 10:46 , 14-Окт-12 (1)
> Доброго времени суток! > Freebsd 8.3 release, конфигурация ipfw и nat как тут http://www.lissyara.su/articles/freebsd/tuning/ipfw_nat/#exa... > 1000 пользователей и канал 100 мбит. > Периодически у произвольных пользователей перестает работать интернет. > Предположение - заканчиваются свободные порты в диапазоне 1024-65535 (sysctl net.inet.ip.portrange.first=1024). > Что сделать, чтобы гарантированно узнать о том что порты действительно кончились ? Я так подозреваю это должно отражаться в логах ? К тому-же по идее это должно происходить не с оперделенными пользователями, а с определенными соединениями. Думаю не там копаете.
- Закончились ли свободные порты, nat на 1 реальный адрес, dima, 06:12 , 15-Окт-12 (2)
>> Доброго времени суток! >> Freebsd 8.3 release, конфигурация ipfw и nat как тут http://www.lissyara.su/articles/freebsd/tuning/ipfw_nat/#exa... >> 1000 пользователей и канал 100 мбит. >> Периодически у произвольных пользователей перестает работать интернет. >> Предположение - заканчиваются свободные порты в диапазоне 1024-65535 (sysctl net.inet.ip.portrange.first=1024). >> Что сделать, чтобы гарантированно узнать о том что порты действительно кончились ? > Я так подозреваю это должно отражаться в логах ? > К тому-же по идее это должно происходить не с оперделенными пользователями, а > с определенными соединениями. Думаю не там копаете.Check "/var/log/messages" and look for "ip_conntrack Table full. Dropping packet" про юзеров: непатченная винда XP колом встает при запустке торент клиента на скачивание
- Закончились ли свободные порты, nat на 1 реальный адрес, dima, 06:16 , 15-Окт-12 (3)
/etc/defaults/rc.conf еще заменить natd_enable="NO" # Enable natd (if firewall_enable == YES). natd_interface="" # Public interface or IPaddress to use. natd_flags="" # Additional flags for natd. ipnat_enable="YES" # Set to YES to enable ipnat functionality ipnat_program="/sbin/ipnat" # where the ipnat program lives ipnat_rules="/etc/ipnat.rules" # rules definition file for ipnat # cat /etc/ipnat.rules map stge0 192.168.10.0/24 -> realIP/32 proxy port ftp ftp/tcp map stge0 192.168.10.0/24 -> realIP/32 portmap tcp/udp auto map stge0 192.168.10.0/24 -> realIP/32
и радоваться выводу # ipnat -l
- Закончились ли свободные порты, nat на 1 реальный адрес, AdVv, 17:27 , 15-Окт-12 (5)
>[оверквотинг удален] > ipnat_enable="YES" > # Set to YES to enable ipnat functionality > ipnat_program="/sbin/ipnat" # where the ipnat program lives > ipnat_rules="/etc/ipnat.rules" # rules definition file for ipnat > # cat /etc/ipnat.rules > map stge0 192.168.10.0/24 -> realIP/32 proxy port ftp ftp/tcp > map stge0 192.168.10.0/24 -> realIP/32 portmap tcp/udp auto > map stge0 192.168.10.0/24 -> realIP/32 > и радоваться выводу > # ipnat -l Лучше использовать kernel nat, natd устаревшая технология.
- Закончились ли свободные порты, nat на 1 реальный адрес, AdVv, 17:26 , 15-Окт-12 (4)
>[оверквотинг удален] >>> 1000 пользователей и канал 100 мбит. >>> Периодически у произвольных пользователей перестает работать интернет. >>> Предположение - заканчиваются свободные порты в диапазоне 1024-65535 (sysctl net.inet.ip.portrange.first=1024). >>> Что сделать, чтобы гарантированно узнать о том что порты действительно кончились ? >> Я так подозреваю это должно отражаться в логах ? >> К тому-же по идее это должно происходить не с оперделенными пользователями, а >> с определенными соединениями. Думаю не там копаете. > Check "/var/log/messages" and look for "ip_conntrack Table full. Dropping packet" > про юзеров: > непатченная винда XP колом встает при запустке торент клиента на скачивание У меня не встает, что я делаю не так ? Это проблема не винды а дешевых сетевых карт на чипсетах Realtek
- Закончились ли свободные порты, nat на 1 реальный адрес, freebsdator, 20:01 , 15-Окт-12 (6)
> Check "/var/log/messages" and look for "ip_conntrack Table full. Dropping packet" В логах такого нет Имею такую статистику, это много или мало ? ipfw nat 1 show icmp=0, udp=1658, tcp=103571, sctp=0, pptp=0, proto=0, frag_id=29 frag_ptr=0 / tot=105258 И это при том что сейчас сделал allow ip from any to any 20,21,22,23,53,80,443,3389,8080,8081,5190 а раньше были все порты разрешены.
- Закончились ли свободные порты, nat на 1 реальный адрес, user, 20:31 , 15-Окт-12 (7)
>> Check "/var/log/messages" and look for "ip_conntrack Table full. Dropping packet" > В логах такого нет > Имею такую статистику, это много или мало ? > ipfw nat 1 show > icmp=0, udp=1658, tcp=103571, sctp=0, pptp=0, proto=0, frag_id=29 frag_ptr=0 / tot=105258 > И это при том что сейчас сделал > allow ip from any to any 20,21,22,23,53,80,443,3389,8080,8081,5190 > а раньше были все порты разрешены.Та нахрен их запрещать. Делаете приоритизацию на выходе на внешней сетевой и внутренней и пусть качают :). Ставите прозрачный проксик и делаете редирект на него HTTP-трафика локальной сети. В проксике отключите CONNECT.
- Закончились ли свободные порты, nat на 1 реальный адрес, freebsdator, 21:53 , 15-Окт-12 (8)
> Та нахрен их запрещать. > Делаете приоритизацию на выходе на внешней сетевой и внутренней и пусть качают > :). Ставите прозрачный проксик и делаете редирект на него HTTP-трафика локальной > сети. В проксике отключите CONNECT.Как увязать между собой прокси с его delay-pools (или даже без него) и справедливый шейпер dummynet не совсем понятно.
- Закончились ли свободные порты, nat на 1 реальный адрес, PavelR, 01:59 , 16-Окт-12 (9)
>> Check "/var/log/messages" and look for "ip_conntrack Table full. Dropping packet" > В логах такого нет Да это он "пошутил" так. Это вообще из линукса типовая ругань на число коннектов. К фряхе отношения не имеет.
|