URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 91790
[ Назад ]

Исходное сообщение
"проблема в настройке NAT"
Отправлено maga , 20-Июн-11 10:47

Добрый день! у меня небольшая проблема! если сможете помочь был бы благодарен
есть сервер на котором поднят нат, за натом около 1000 абонентов и вот у них возникли такие проблемы как : работает ICQ но не работает QIP и джаббер, все сайты работают видео показывает за исключением видео на сайте VKONTAKTE.RU а сам сайт нормально работает только видео не работает не работает SUPPORT и клиентская программа друг вокруг.
iptables-save
:INPUT DROP [0:0]
:FORWARD ACCEPT [2587:161682]
:OUTPUT ACCEPT [38:7566]
-A INPUT -s 192.168.181.1
-A INPUT -s 192.168.180.1
-A INPUT -p icmp -j ACCEPT
-A INPUT -i eth0.181 -p icmp -j ACCEPT
-A INPUT -i eth1.180 -p icmp -j ACCEPT
-A INPUT -s 192.168.117.0/255.255.255.0 -j ACCEPT
-A INPUT -d 127.0.0.1 -j ACCEPT
-A INPUT -s 127.0.0.1 -j ACCEPT
-A INPUT -s 192.168.180.0/255.255.255.252 -j ACCEPT
-A INPUT -s 192.168.181.0/255.255.255.252 -j ACCEPT
-A INPUT -d 192.168.180.0/255.255.255.252 -j ACCEPT
-A INPUT -d 192.168.181.0/255.255.255.252 -j ACCEPT
COMMIT
# Completed on Thu Jun 16 11:19:28 2011
# Generated by iptables-save v1.3.5 on Thu Jun 16 11:19:28 2011
*nat
:PREROUTING ACCEPT [6491:412207]
:POSTROUTING ACCEPT [4:267]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 192.168.X.X -o eth0.181 -j SNAT --to-source 46.16.226.34
-A POSTROUTING -s 192.168.X.X/255.255.255.0 -o eth0.181 -j SNAT --to-source 109.70.X.X-109.70.X.X
-A POSTROUTING -s 192.168.X.X/255.255.255.0 -o eth0.181 -j SNAT --to-source 109.70.X.X-109.70.X.X
-A POSTROUTING -s 192.168.X.X/255.255.255.0 -o eth0.181 -j SNAT --to-source 109.70.X.X-109.70.X.X
-A POSTROUTING -s 192.168.X.X/255.255.255.0 -o eth0.181 -j SNAT --to-source 109.70.X.X-109.70.X.X
-A POSTROUTING -s 192.168.X.X/255.255.255.0 -o eth0.181 -j SNAT --to-source 46.16.X.X-46.16.X.X
-A POSTROUTING -s 192.168.X.X/255.255.255.0 -o eth0.181 -j SNAT --to-source 46.16.X.X-46.16.X.X
-A POSTROUTING -s 192.168.X.X/255.255.255.0 -o eth0.181 -j SNAT --to-source 46.16.X.X-46.16.X.X
-A POSTROUTING -s 192.168.X.X/255.255.255.0 -o eth0.181 -j SNAT --to-source 46.16.X.X-46.16.X.X
-A POSTROUTING -s 192.168.X.X/255.255.255.0 -o eth0.181 -j SNAT --to-source 46.16.X.X-46.16.X.X
-A POSTROUTING -s 192.168.X.X/255.255.255.0 -o eth0.181 -j SNAT --to-source 46.16.X.X-46.16.X.X
-A POSTROUTING -s 192.168.X.X/255.255.255.0 -o eth0.181 -j SNAT --to-source 46.16.X.X-46.16.X.X
-A POSTROUTING -s 192.168.X.X/255.255.255.0 -o eth0.181 -j SNAT --to-source 46.16.X.X-46.16.X.X
-A POSTROUTING -s 192.168.X.X/255.255.255.0 -o eth0.181 -j SNAT --to-source 46.16.X.X-46.16.X.X
-A POSTROUTING -s 192.168.X.X/255.255.255.0 -o eth0.181 -j SNAT --to-source 46.16.X.X-46.16.X.X
-A POSTROUTING -s 192.168.X.X/255.255.255.0 -o eth0.181 -j SNAT --to-source 46.16.X.X-46.16.X.X
COMMIT

[root@nat-box2 sysconfig]# sysctl -a | grep conntrack
net.ipv4.ip_conntrack_max = 20000000
net.ipv4.netfilter.ip_conntrack_tcp_max_retrans = 3
net.ipv4.netfilter.ip_conntrack_tcp_be_liberal = 0
net.ipv4.netfilter.ip_conntrack_tcp_loose = 1
net.ipv4.netfilter.ip_conntrack_tcp_timeout_max_retrans = 120
net.ipv4.netfilter.ip_conntrack_log_invalid = 0
net.ipv4.netfilter.ip_conntrack_generic_timeout = 180
net.ipv4.netfilter.ip_conntrack_icmp_timeout = 30
net.ipv4.netfilter.ip_conntrack_udp_timeout_stream = 180
net.ipv4.netfilter.ip_conntrack_udp_timeout = 30
net.ipv4.netfilter.ip_conntrack_tcp_timeout_close = 10
net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait = 120
net.ipv4.netfilter.ip_conntrack_tcp_timeout_last_ack = 30
net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait = 60
net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait = 120
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 180
net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv = 60
net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_sent = 120
net.ipv4.netfilter.ip_conntrack_checksum = 1
net.ipv4.netfilter.ip_conntrack_buckets = 8192
net.ipv4.netfilter.ip_conntrack_count = 111308
net.ipv4.netfilter.ip_conntrack_max = 20000000

Содержание

проблема в настройке NAT,Aquarius, 11:57 , 20-Июн-11
- проблема в настройке NAT,maga, 14:27 , 20-Июн-11
  - проблема в настройке NAT,Aquarius, 20:25 , 20-Июн-11
    - проблема в настройке NAT,maga, 21:43 , 20-Июн-11
проблема в настройке NAT,dogonthesun, 21:08 , 20-Июн-11
- проблема в настройке NAT,maga, 21:42 , 20-Июн-11
  - проблема в настройке NAT,maga, 21:53 , 20-Июн-11
    - проблема в настройке NAT,maga, 21:53 , 20-Июн-11
      - проблема в настройке NAT,dogonthesun, 06:51 , 21-Июн-11
        
        проблема в настройке NAT,maga, 11:02 , 21-Июн-11
        
        проблема в настройке NAT,dogonthesun, 12:08 , 21-Июн-11
        
        проблема в настройке NAT,maga, 13:19 , 21-Июн-11
        
        проблема в настройке NAT,maga, 13:24 , 21-Июн-11
        
        проблема в настройке NAT,maga, 17:16 , 24-Июн-11
        
        проблема в настройке NAT,dogonthesun, 14:50 , 27-Июн-11

Сообщения в этом обсуждении

"проблема в настройке NAT"
Отправлено Aquarius , 20-Июн-11 11:57

> Добрый день! у меня небольшая проблема! если сможете помочь был бы благодарен
что значит "не работает не работает SUPPORT" и что такое "клиентская программа друг вокруг", а еще здесь не помешали бы запятые, хотя это и не критично
>[оверквотинг удален]
> net.ipv4.netfilter.ip_conntrack_tcp_timeout_last_ack = 30
> net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait = 60
> net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait = 120
> net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 180
> net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv = 60
> net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_sent = 120
> net.ipv4.netfilter.ip_conntrack_checksum = 1
> net.ipv4.netfilter.ip_conntrack_buckets = 8192
> net.ipv4.netfilter.ip_conntrack_count = 111308
> net.ipv4.netfilter.ip_conntrack_max = 20000000

"проблема в настройке NAT"
Отправлено maga , 20-Июн-11 14:27

> что значит "не работает не работает SUPPORT" и что такое "клиентская программа
> друг вокруг",
SUPPORT - клиентская программа типо skype только
друг вокруг - русская клиентская программа типо icq

"проблема в настройке NAT"
Отправлено Aquarius , 20-Июн-11 20:25

>> что значит "не работает не работает SUPPORT" и что такое "клиентская программа
>> друг вокруг",
> SUPPORT - клиентская программа типо skype только
> друг вокруг - русская клиентская программа типо icq
в таком случае, следовало слова "support" и "друг вокруг" заключить в кавычки, а так же сразу указать, что это такое и в каких сетевых технологиях они нуждаются
P.S. а что это за слово "типо"?

"проблема в настройке NAT"
Отправлено maga , 20-Июн-11 21:43

>>> что значит "не работает не работает SUPPORT" и что такое "клиентская программа
>>> друг вокруг",
>> SUPPORT - клиентская программа типо skype только
>> друг вокруг - русская клиентская программа типо icq
> в таком случае, следовало слова "support" и "друг вокруг" заключить в кавычки,
> а так же сразу указать, что это такое и в каких
> сетевых технологиях они нуждаются
> P.S. а что это за слово "типо"?
я учту ваши замечания

"проблема в настройке NAT"
Отправлено dogonthesun , 20-Июн-11 21:08

> -A POSTROUTING -s 192.168.X.X/255.255.255.0 -o eth0.181 -j SNAT --to-source 109.70.X.X-109.70.X.X
"Для каждого потока публичный адрес источника случайным образом выделяется из диапазона, указанного опцией --to-source." Т. е. в вашем случае, если я правильно все понимаю, нельзя сказать, какой public source ip у конкретного абонента?
Если адрес public source ip может меняться, то это может вызвать описанные вами проблемы.

"проблема в настройке NAT"
Отправлено maga , 20-Июн-11 21:42

>> -A POSTROUTING -s 192.168.X.X/255.255.255.0 -o eth0.181 -j SNAT --to-source 109.70.X.X-109.70.X.X
> "Для каждого потока публичный адрес источника случайным образом выделяется из диапазона,
> указанного опцией --to-source." Т. е. в вашем случае, если я правильно
> все понимаю, нельзя сказать, какой public source ip у конкретного абонента?
> Если адрес public source ip может меняться, то это может вызвать описанные
> вами проблемы.
в этом случае как мне быть? как мне правильно настроить NAT?

"проблема в настройке NAT"
Отправлено maga , 20-Июн-11 21:53

>>> -A POSTROUTING -s 192.168.X.X/255.255.255.0 -o eth0.181 -j SNAT --to-source 109.70.X.X-109.70.X.X
>> "Для каждого потока публичный адрес источника случайным образом выделяется из диапазона,
>> указанного опцией --to-source." Т. е. в вашем случае, если я правильно
>> все понимаю, нельзя сказать, какой public source ip у конкретного абонента?
>> Если адрес public source ip может меняться, то это может вызвать описанные
>> вами проблемы.
в этом случае как мне быть? как мне правильно настроить NAT?
Раньше NAT работал на cisco и там все работало! так как торрент сессии забивали канал! мы решили перенести NAT на сервер? настроив на ней эммулятор cisco "quaga",бля обрезки сессий для абонентов на торрент.

"проблема в настройке NAT"
Отправлено maga , 20-Июн-11 21:53

>>>> -A POSTROUTING -s 192.168.X.X/255.255.255.0 -o eth0.181 -j SNAT --to-source 109.70.X.X-109.70.X.X
>>> "Для каждого потока публичный адрес источника случайным образом выделяется из диапазона,
>>> указанного опцией --to-source." Т. е. в вашем случае, если я правильно
>>> все понимаю, нельзя сказать, какой public source ip у конкретного абонента?
>>> Если адрес public source ip может меняться, то это может вызвать описанные
>>> вами проблемы.
в этом случае как мне быть? как мне правильно настроить NAT?
Раньше NAT работал на cisco и там все работало! так как торрент сессии забивали канал! мы решили перенести NAT на сервер? настроив на ней эммулятор cisco "quaga",для обрезки сессий для абонентов на торрент.

"проблема в настройке NAT"
Отправлено dogonthesun , 21-Июн-11 06:51

>>>>> -A POSTROUTING -s 192.168.X.X/255.255.255.0 -o eth0.181 -j SNAT --to-source 109.70.X.X-109.70.X.X
>>>> "Для каждого потока публичный адрес источника случайным образом выделяется из диапазона,
>>>> указанного опцией --to-source." Т. е. в вашем случае, если я правильно
>>>> все понимаю, нельзя сказать, какой public source ip у конкретного абонента?
>>>> Если адрес public source ip может меняться, то это может вызвать описанные
>>>> вами проблемы.
> в этом случае как мне быть? как мне правильно настроить NAT?
> Раньше NAT работал на cisco и там все работало! так как торрент
> сессии забивали канал! мы решили перенести NAT на сервер? настроив на
> ней эммулятор cisco "quaga",для обрезки сессий для абонентов на торрент.
Кстати, NAT-сервер один?
Смысл в том, чтобы конфигурация NAT однозначно определяла то, в какой адрес транслируется серый адрес. Например, у вас было правило:
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth0.181 -j SNAT --to-source 109.70.0.1-109.70.0.2
Разбейте его на два:
-A POSTROUTING -s 192.168.0.0/255.255.255.128 -o eth0.181 -j SNAT --to-source 109.70.0.1
-A POSTROUTING -s 192.168.0.128/255.255.255.128 -o eth0.181 -j SNAT --to-source 109.70.0.2

"проблема в настройке NAT"
Отправлено maga , 21-Июн-11 11:02

>[оверквотинг удален]
>> Раньше NAT работал на cisco и там все работало! так как торрент
>> сессии забивали канал! мы решили перенести NAT на сервер? настроив на
>> ней эммулятор cisco "quaga",для обрезки сессий для абонентов на торрент.
> Кстати, NAT-сервер один?
> Смысл в том, чтобы конфигурация NAT однозначно определяла то, в какой адрес
> транслируется серый адрес. Например, у вас было правило:
> -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth0.181 -j SNAT --to-source 109.70.0.1-109.70.0.2
> Разбейте его на два:
> -A POSTROUTING -s 192.168.0.0/255.255.255.128 -o eth0.181 -j SNAT --to-source 109.70.0.1
> -A POSTROUTING -s 192.168.0.128/255.255.255.128 -o eth0.181 -j SNAT --to-source 109.70.0.2
Да, сервер один!! там просто подсетей много, получается надо для каждого внешнего ip прописать подсети.
У нас есть регионы куда поставляем интернет, безлимитчики и лимитчики! и мы их распределили по подсетям и по ,белым ip.
спасибо за помощь !! щас проверю, результат опишу

"проблема в настройке NAT"
Отправлено dogonthesun , 21-Июн-11 12:08

> -A POSTROUTING -s 192.168.X.X -o eth0.181 -j SNAT --to-source 46.16.226.34
Проверьте на этом хосте 192.168.X.X работоспособность сервисов, которые недоступны для абонентов.

"проблема в настройке NAT"
Отправлено maga , 21-Июн-11 13:19

>> -A POSTROUTING -s 192.168.X.X -o eth0.181 -j SNAT --to-source 46.16.226.34
> Проверьте на этом хосте 192.168.X.X работоспособность сервисов, которые недоступны для
> абонентов.
Спасибо огромное за помощь! заработала!!!
все сети переделал все нормально! еще раз спасибо!!

"проблема в настройке NAT"
Отправлено maga , 21-Июн-11 13:24

dogonthesun мой icq 557271121 был бы рад видеть тебя в своем списке если вдруг нужна будет помощь!

"проблема в настройке NAT"
Отправлено maga , 24-Июн-11 17:16

С этой проблемой решили.... теперь возникла другая проблема!!!
у абонентов у кого безлимитка 1 мб/с 2,3,4 мб/с после 10-15 минут интенсивной работы в интернете, (безупречной работы интернета) начинается поттормаживание видео на сайтах, страницы медленно открывается, в общем интернет умирает! вот только после переподключения интернет опять оживает на 15-20 минут. как я понял проблема в сессиях но разобраться не могу и найти выход из этого!

"проблема в настройке NAT"
Отправлено dogonthesun , 27-Июн-11 14:50

> С этой проблемой решили.... теперь возникла другая проблема!!!
> у абонентов у кого безлимитка 1 мб/с 2,3,4 мб/с после 10-15 минут
> интенсивной работы в интернете, (безупречной работы интернета) начинается поттормаживание
> видео на сайтах, страницы медленно открывается, в общем интернет умирает! вот
> только после переподключения интернет опять оживает на 15-20 минут. как я
> понял проблема в сессиях но разобраться не могу и найти выход
> из этого!
Вы точно диагностировали, что проблема в NAT-сервере?