- Закончились ли свободные порты, nat на 1 реальный адрес,
 AdVv, 10:46 , 14-Окт-12 (1)> Доброго времени суток!
> Freebsd 8.3 release, конфигурация ipfw и nat как тут http://www.lissyara.su/articles/freebsd/tuning/ipfw_nat/#exa...
> 1000 пользователей и канал 100 мбит.
> Периодически у произвольных пользователей перестает работать интернет.
> Предположение - заканчиваются свободные порты в диапазоне 1024-65535 (sysctl net.inet.ip.portrange.first=1024).
> Что сделать, чтобы гарантированно узнать о том что порты действительно кончились ? Я так подозреваю это должно отражаться в логах ?
К тому-же по идее это должно происходить не с оперделенными пользователями, а с определенными соединениями. Думаю не там копаете.
- Закончились ли свободные порты, nat на 1 реальный адрес, dima, 06:12 , 15-Окт-12 (2)
>> Доброго времени суток!
>> Freebsd 8.3 release, конфигурация ipfw и nat как тут http://www.lissyara.su/articles/freebsd/tuning/ipfw_nat/#exa...
>> 1000 пользователей и канал 100 мбит.
>> Периодически у произвольных пользователей перестает работать интернет.
>> Предположение - заканчиваются свободные порты в диапазоне 1024-65535 (sysctl net.inet.ip.portrange.first=1024).
>> Что сделать, чтобы гарантированно узнать о том что порты действительно кончились ?
> Я так подозреваю это должно отражаться в логах ?
> К тому-же по идее это должно происходить не с оперделенными пользователями, а
> с определенными соединениями. Думаю не там копаете.Check "/var/log/messages" and look for "ip_conntrack Table full. Dropping packet"
про юзеров:
непатченная винда XP колом встает при запустке торент клиента на скачивание
- Закончились ли свободные порты, nat на 1 реальный адрес, dima, 06:16 , 15-Окт-12 (3)
/etc/defaults/rc.conf еще заменить natd_enable="NO" # Enable natd (if firewall_enable == YES).
natd_interface="" # Public interface or IPaddress to use.
natd_flags="" # Additional flags for natd.
ipnat_enable="YES" # Set to YES to enable ipnat functionality
ipnat_program="/sbin/ipnat" # where the ipnat program lives
ipnat_rules="/etc/ipnat.rules" # rules definition file for ipnat
# cat /etc/ipnat.rules
map stge0 192.168.10.0/24 -> realIP/32 proxy port ftp ftp/tcp
map stge0 192.168.10.0/24 -> realIP/32 portmap tcp/udp auto
map stge0 192.168.10.0/24 -> realIP/32
и радоваться выводу
# ipnat -l
- Закончились ли свободные порты, nat на 1 реальный адрес, AdVv, 17:27 , 15-Окт-12 (5)
>[оверквотинг удален]
> ipnat_enable="YES"
> # Set to YES to enable ipnat functionality
> ipnat_program="/sbin/ipnat" # where the ipnat program lives
> ipnat_rules="/etc/ipnat.rules" # rules definition file for ipnat
> # cat /etc/ipnat.rules
> map stge0 192.168.10.0/24 -> realIP/32 proxy port ftp ftp/tcp
> map stge0 192.168.10.0/24 -> realIP/32 portmap tcp/udp auto
> map stge0 192.168.10.0/24 -> realIP/32
> и радоваться выводу
> # ipnat -l Лучше использовать kernel nat, natd устаревшая технология.
- Закончились ли свободные порты, nat на 1 реальный адрес, AdVv, 17:26 , 15-Окт-12 (4)
>[оверквотинг удален]
>>> 1000 пользователей и канал 100 мбит.
>>> Периодически у произвольных пользователей перестает работать интернет.
>>> Предположение - заканчиваются свободные порты в диапазоне 1024-65535 (sysctl net.inet.ip.portrange.first=1024).
>>> Что сделать, чтобы гарантированно узнать о том что порты действительно кончились ?
>> Я так подозреваю это должно отражаться в логах ?
>> К тому-же по идее это должно происходить не с оперделенными пользователями, а
>> с определенными соединениями. Думаю не там копаете.
> Check "/var/log/messages" and look for "ip_conntrack Table full. Dropping packet"
> про юзеров:
> непатченная винда XP колом встает при запустке торент клиента на скачивание У меня не встает, что я делаю не так ?
Это проблема не винды а дешевых сетевых карт на чипсетах Realtek
- Закончились ли свободные порты, nat на 1 реальный адрес, freebsdator, 20:01 , 15-Окт-12 (6)
> Check "/var/log/messages" and look for "ip_conntrack Table full. Dropping packet" В логах такого нет Имею такую статистику, это много или мало ?
ipfw nat 1 show
icmp=0, udp=1658, tcp=103571, sctp=0, pptp=0, proto=0, frag_id=29 frag_ptr=0 / tot=105258
И это при том что сейчас сделал
allow ip from any to any 20,21,22,23,53,80,443,3389,8080,8081,5190
а раньше были все порты разрешены.
- Закончились ли свободные порты, nat на 1 реальный адрес, user, 20:31 , 15-Окт-12 (7)
>> Check "/var/log/messages" and look for "ip_conntrack Table full. Dropping packet"
> В логах такого нет
> Имею такую статистику, это много или мало ?
> ipfw nat 1 show
> icmp=0, udp=1658, tcp=103571, sctp=0, pptp=0, proto=0, frag_id=29 frag_ptr=0 / tot=105258
> И это при том что сейчас сделал
> allow ip from any to any 20,21,22,23,53,80,443,3389,8080,8081,5190
> а раньше были все порты разрешены.Та нахрен их запрещать.
Делаете приоритизацию на выходе на внешней сетевой и внутренней и пусть качают :). Ставите прозрачный проксик и делаете редирект на него HTTP-трафика локальной сети. В проксике отключите CONNECT.
- Закончились ли свободные порты, nat на 1 реальный адрес, freebsdator, 21:53 , 15-Окт-12 (8)
> Та нахрен их запрещать.
> Делаете приоритизацию на выходе на внешней сетевой и внутренней и пусть качают
> :). Ставите прозрачный проксик и делаете редирект на него HTTP-трафика локальной
> сети. В проксике отключите CONNECT.Как увязать между собой прокси с его delay-pools (или даже без него) и справедливый шейпер dummynet не совсем понятно.
- Закончились ли свободные порты, nat на 1 реальный адрес, PavelR, 01:59 , 16-Окт-12 (9)
>> Check "/var/log/messages" and look for "ip_conntrack Table full. Dropping packet"
> В логах такого нет Да это он "пошутил" так. Это вообще из линукса типовая ругань на число коннектов. К фряхе отношения не имеет.
|
Версия для распечатки
Закончились ли свободные порты, nat на 1 реальный адрес, 
