Здравствуйте, разъясните пожалуйста один непонятный момент.
Есть ADSL модем, за ним сервак со сквидом, и прочими сервисами. Вообщем ADSL дохловат и плохо справляется с наплывом NAT сессий, планируется перевести его на bridge.
Вот собственно вопрос у нас есть только один реальный ip, для NAT переоброазования использую -o eth2 -J SNAT --to-soorce real_ip.
Если я понимаю то таким макаром с одним реальным ip, iptables использует NAT с помощью перекрытия, значит фактически я не могу получить больше 65000 (т.е кол-ва портов) с мелочью сессий? Правильно я мыслю или нет?
> Если я понимаю то таким макаром с одним реальным ip, iptables использует
> NAT с помощью перекрытия, значит фактически я не могу получить больше
> 65000 (т.е кол-ва портов) с мелочью сессий? Правильно я мыслю или
> нет?Не-а, не правильно. Математика сложная наука, но надо же себя заставлять~~
Для _всех своих клиентов за SNAT-ом/маскарадом на _одном исходящем белом ip получите не больше 65К (2^16-2^10 или типа того) соединений на _один порт _одного сервера (ip назначения).
http://www.opennet.me/opennews/art.shtml?num=29489#9
Это может показаться странным, но никакой драмы "OMFG, ктулху заховал все маи порты" не случилось.
>[оверквотинг удален]
>> NAT с помощью перекрытия, значит фактически я не могу получить больше
>> 65000 (т.е кол-ва портов) с мелочью сессий? Правильно я мыслю или
>> нет?
> Не-а, не правильно. Математика сложная наука, но надо же себя заставлять~~
> Для _всех своих клиентов за SNAT-ом/маскарадом на _одном исходящем белом ip получите
> не больше 65К (2^16-2^10 или типа того) соединений на _один порт
> _одного сервера (ip назначения).
> http://www.opennet.me/opennews/art.shtml?num=29489#9
> Это может показаться странным, но никакой драмы "OMFG, ктулху заховал все маи
> порты" не случилось.Т.е, если я правильно понял, если например 65тыс с гаком компов за SNAT захотят открыть по 1 соединению например на 11.12.13.14 80, то это и будет ограничение, т.е 65 какой-то там комп на этот 11.12.13.14 80 уже не пройдет, но на другой внешний ip может ломится свободно. Т.е для средней сети, это ограничения не представляет. И общее кол-во открытых сессий упирается в объем ОЗУ?
скорее в линк ADSL'а упрётся.кстати на ADSL'e хорошо делать приоритезацию ACK пакетов
Assigning TCP ACK packets to a higher priority queue is useful on asymmetric connections, that is, connections that have different upload and download bandwidths such as ADSL lines. With an ADSL line, if the upload channel is being maxed out and a download is started, the download will suffer because the TCP ACK packets it needs to send will run into congestion when they try to pass through the upload channel. Testing has shown that to achieve the best results, the bandwidth on the upload queue should be set to a value less than what the connection is capable of. For instance, if an ADSL line has a max upload of 640Kbps, setting the root queue's bandwidth to a value such as 600Kb should result in better performance. Trial and error will yield the best bandwidth setting.
Результат:
Т.е в ограничение по портам на серваке не упрется.
Значит утверждение что 65К -это ограничение соединений на _один порт _одного сервера (ip назначения)правильно? Т.к я думал что это вообще общее кол-во сессий.
> Т.е в ограничение по портам на серваке не упрется.
> Значит утверждение что 65К -это ограничение соединений на _один порт _одного сервера
> (ip назначения)правильно? Т.к я думал что это вообще общее кол-во сессий.yep, 2^16-2^10 соединений на каждый порт IP адреса.
>> Т.е в ограничение по портам на серваке не упрется.
>> Значит утверждение что 65К -это ограничение соединений на _один порт _одного сервера
>> (ip назначения)правильно? Т.к я думал что это вообще общее кол-во сессий.
> yep, 2^16-2^10 соединений на каждый порт IP адреса.Спасибо, разъяснили.
---