OpenForum RSS: ipfw natd все бегает, а вот с внешней стороны тормоза https://www.opennet.me/openforum/vsluhforumID1/87624.html Товарищи гуру, <br>Заметил что если целятся со стороны инета к серверу, по все равно какому протоколу - скорость бешено маленькая.. аж жуть как будто нет вобще. если вырубаю правило ната то все шуршит быстро но без ната., правило в одну строчку, что бы его обнять правилами нетамса.<br><br>скрипт фаервола:<br>em0 - inet<br>em1 - lan<br><br>ipfw show:<br><br>#98 divert 199 ip from any to any via em0<br>#100 divert 8668 ip from any to any via em0<br>#101 divert 199 ip from any to any via em0<br><br><br> все было хоршо пока работало двумя правилами c доков и манов: айпишнег внешний статик.<br>/sbin/ipfw -q add divert natd ip from 192.168.0.0/24 to any out via em0<br>/sbin/ipfw -q add divert natd ip from any to 123.123.123.10 in via em0 <br>Писал в одну строку с айпишнкимаи и подсетями- не натитсо.<br>Как же описать такое дело... Что бы было удаленно хоть комфортно работать...?<br> ipfw natd все бегает, а вот с внешней стороны тормоза (dicty) https://www.opennet.me/openforum/vsluhforumID1/87624.html#21 Mon, 28 Dec 2009 15:59:12 GMT <br>&gt;и почему же интерено глюки пока не прописать принудительно внешний айпи? <br><br>Поэтому я и пришел сюда с вопросом )))<br><br> ipfw natd все бегает, а вот с внешней стороны тормоза (Pahanivo) https://www.opennet.me/openforum/vsluhforumID1/87624.html#20 Mon, 28 Dec 2009 15:49:06 GMT &gt;<br>&gt;&gt;всмысле ЧЕРЕЗ один айпи? алиасы? <br>&gt;<br>&gt;Ну да, на шлюз выделен провом один IP, через него и ходят. <br>&gt;:) <br><br>и почему же интерено глюки пока не прописать принудительно внешний айпи?<br> ipfw natd все бегает, а вот с внешней стороны тормоза (dicty) https://www.opennet.me/openforum/vsluhforumID1/87624.html#19 Mon, 28 Dec 2009 14:37:46 GMT <br>&gt;всмысле ЧЕРЕЗ один айпи? алиасы? <br><br>Ну да, на шлюз выделен провом один IP, через него и ходят. :)<br><br> ipfw natd все бегает, а вот с внешней стороны тормоза (Pahanivo) https://www.opennet.me/openforum/vsluhforumID1/87624.html#18 Mon, 28 Dec 2009 13:43:18 GMT &gt;<br>&gt;&gt;у вас юзвери во вне ходят исключительно на один айпи? <br>&gt;<br>&gt;Не понял вопроса... А откуда это видно в моих конфигах? <br><br>всмысле ЧЕРЕЗ один айпи? алиасы?<br> ipfw natd все бегает, а вот с внешней стороны тормоза (dicty) https://www.opennet.me/openforum/vsluhforumID1/87624.html#17 Mon, 28 Dec 2009 13:03:22 GMT <br>&gt;у вас юзвери во вне ходят исключительно на один айпи? <br><br>Не понял вопроса... А откуда это видно в моих конфигах?<br><br> ipfw natd все бегает, а вот с внешней стороны тормоза (dicty) https://www.opennet.me/openforum/vsluhforumID1/87624.html#16 Mon, 28 Dec 2009 13:02:02 GMT <br>&gt;Поставьте вместо 10000: <br>&gt;divert 8668 log ip from any to any out via em0 <br>&gt;<br>&gt;уберите 10001 <br>&gt;<br>&gt;и не парьте моск. <br><br>Да я бы моск не парил, но при таком конфиге (он был изначальный) скорость доступа извне была ооочень маленькой. Объяснения так и не нашел этому.<br>Потом путем проб и ошибок определил, какой конфиг является оптимальным. А это именно две строчки: отдельно для входящих запросов и для исходящих.<br> ipfw natd все бегает, а вот с внешней стороны тормоза (Kos) https://www.opennet.me/openforum/vsluhforumID1/87624.html#15 Mon, 28 Dec 2009 07:18:00 GMT &gt;[оверквотинг удален]<br>&gt;09000 318 59998 fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to <br>&gt;any dst-port 80 out via em0 <br>&gt;10000 0 0 <br>&gt;divert 8668 log ip from 192.168.1.0/24 to any out via em0 <br>&gt;<br>&gt;10001 766 167209 divert 8668 log ip from any to <br>&gt;195.138.72.210 in via em0 <br>&gt;<br>&gt;Но пугают нули счетчиках на 10000 правило. <br>&gt;Проверить, есть ли доступ из локалки в инет сейчас нет возможности. <br><br>Поставьте вместо 10000:<br>divert 8668 log ip from any to any out via em0<br><br>уберите 10001<br><br>и не парьте моск. Вместо того, чтобы копипастить гору непонятных правил, начните с простого и попробуйте вникнуть в смысл.<br>Счетчики у Вас на нуле, потому что на исходящем интерфейсе после прохождения через НАТ ip источника изаменяется на ip интерфейса, на котором висит этот самый нат, а он немножко не попадает в 192.168.1.0/24<br> ipfw natd все бегает, а вот с внешней стороны тормоза (Pahanivo) https://www.opennet.me/openforum/vsluhforumID1/87624.html#14 Mon, 28 Dec 2009 05:40:01 GMT &gt;&gt;это не полный конфиг, а часть моего вышевыложенного. <br>&gt;<br>&gt;Вот к чему я сам пришел: <br>&gt;10000 7219 8572001 divert <br>&gt;8668 ip from any to 195.138.72.210 in via em0 <br>&gt;10001 2918 161015 <br>&gt;divert 8668 ip from 192.168.1.0/24 to any out via em0 <br>&gt;Пакетики бегают, юзеры в инет ходят, я извне подключаюсь со скоростью канала. <br>&gt;:) <br>&gt;Всем спасибо. <br><br>у вас юзвери во вне ходят исключительно на один айпи?<br> ipfw natd все бегает, а вот с внешней стороны тормоза (dicty) https://www.opennet.me/openforum/vsluhforumID1/87624.html#13 Sun, 27 Dec 2009 20:50:32 GMT <br>&gt;А если это все дело еще и на ipfw nat переделать, тогда <br>&gt;вообще всё шикарно будет. <br><br>Два вопроса: как переделать? (знал бы, к гуру не обращался бы)<br>что будет шикарно? ;-)<br>