форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Маршрутизация, NAT / FreeBSD)
Изначальное сообщение		[ Отслеживать ]

"Закончились ли свободные порты, nat на 1 реальный адрес"	+/–
Сообщение от freebsdator on 14-Окт-12, 08:22
Доброго времени суток! Freebsd 8.3 release, конфигурация ipfw и nat как тут http://www.lissyara.su/articles/freebsd/tuning/ipfw_nat/#exa... 1000 пользователей и канал 100 мбит. Периодически у произвольных пользователей перестает работать интернет. Предположение - заканчиваются свободные порты в диапазоне 1024-65535 (sysctl net.inet.ip.portrange.first=1024). Что сделать, чтобы гарантированно узнать о том что порты действительно кончились ?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Закончились ли свободные порты, nat на 1 реальный адрес"	+/–
Сообщение от AdVv (??) on 14-Окт-12, 10:46
> Доброго времени суток! > Freebsd 8.3 release, конфигурация ipfw и nat как тут http://www.lissyara.su/articles/freebsd/tuning/ipfw_nat/#exa... > 1000 пользователей и канал 100 мбит. > Периодически у произвольных пользователей перестает работать интернет. > Предположение - заканчиваются свободные порты в диапазоне 1024-65535 (sysctl net.inet.ip.portrange.first=1024). > Что сделать, чтобы гарантированно узнать о том что порты действительно кончились ? Я так подозреваю это должно отражаться в логах ? К тому-же по идее это должно происходить не с оперделенными пользователями, а с определенными соединениями. Думаю не там копаете.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Закончились ли свободные порты, nat на 1 реальный адрес"	+/–
	Сообщение от dima (??) on 15-Окт-12, 06:12
	>> Доброго времени суток! >> Freebsd 8.3 release, конфигурация ipfw и nat как тут http://www.lissyara.su/articles/freebsd/tuning/ipfw_nat/#exa... >> 1000 пользователей и канал 100 мбит. >> Периодически у произвольных пользователей перестает работать интернет. >> Предположение - заканчиваются свободные порты в диапазоне 1024-65535 (sysctl net.inet.ip.portrange.first=1024). >> Что сделать, чтобы гарантированно узнать о том что порты действительно кончились ? > Я так подозреваю это должно отражаться в логах ? > К тому-же по идее это должно происходить не с оперделенными пользователями, а > с определенными соединениями. Думаю не там копаете. Check "/var/log/messages" and look for "ip_conntrack Table full. Dropping packet" про юзеров: непатченная винда XP колом встает при запустке торент клиента на скачивание
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Закончились ли свободные порты, nat на 1 реальный адрес"	+/–
	Сообщение от dima (??) on 15-Окт-12, 06:16
	/etc/defaults/rc.conf еще заменить natd_enable="NO"                # Enable natd (if firewall_enable == YES). natd_interface=""               # Public interface or IPaddress to use. natd_flags=""                   # Additional flags for natd. ipnat_enable="YES"              # Set to YES to enable ipnat functionality ipnat_program="/sbin/ipnat"     # where the ipnat program lives ipnat_rules="/etc/ipnat.rules"  # rules definition file for ipnat # cat /etc/ipnat.rules map stge0 192.168.10.0/24 -> realIP/32 proxy port ftp ftp/tcp map stge0 192.168.10.0/24 -> realIP/32 portmap tcp/udp auto map stge0 192.168.10.0/24 -> realIP/32 и радоваться выводу # ipnat -l
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	5. "Закончились ли свободные порты, nat на 1 реальный адрес"	+/–
	Сообщение от AdVv (??) on 15-Окт-12, 17:27
	>[оверквотинг удален] > ipnat_enable="YES"             >   # Set to YES to enable ipnat functionality > ipnat_program="/sbin/ipnat"     # where the ipnat program lives > ipnat_rules="/etc/ipnat.rules"  # rules definition file for ipnat > # cat /etc/ipnat.rules > map stge0 192.168.10.0/24 -> realIP/32 proxy port ftp ftp/tcp > map stge0 192.168.10.0/24 -> realIP/32 portmap tcp/udp auto > map stge0 192.168.10.0/24 -> realIP/32 > и радоваться выводу > # ipnat -l Лучше использовать kernel nat, natd устаревшая технология.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	4. "Закончились ли свободные порты, nat на 1 реальный адрес"	+/–
	Сообщение от AdVv (??) on 15-Окт-12, 17:26
	>[оверквотинг удален] >>> 1000 пользователей и канал 100 мбит. >>> Периодически у произвольных пользователей перестает работать интернет. >>> Предположение - заканчиваются свободные порты в диапазоне 1024-65535 (sysctl net.inet.ip.portrange.first=1024). >>> Что сделать, чтобы гарантированно узнать о том что порты действительно кончились ? >> Я так подозреваю это должно отражаться в логах ? >> К тому-же по идее это должно происходить не с оперделенными пользователями, а >> с определенными соединениями. Думаю не там копаете. > Check "/var/log/messages" and look for "ip_conntrack Table full. Dropping packet" > про юзеров: > непатченная винда XP колом встает при запустке торент клиента на скачивание У меня не встает, что я делаю не так ? Это проблема не винды а дешевых сетевых карт на чипсетах Realtek
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	6. "Закончились ли свободные порты, nat на 1 реальный адрес"	+/–
	Сообщение от freebsdator on 15-Окт-12, 20:01
	> Check "/var/log/messages" and look for "ip_conntrack Table full. Dropping packet" В логах такого нет Имею такую статистику, это много или мало ? ipfw nat 1 show icmp=0, udp=1658, tcp=103571, sctp=0, pptp=0, proto=0, frag_id=29 frag_ptr=0 / tot=105258 И это при том что сейчас сделал allow ip from any to any 20,21,22,23,53,80,443,3389,8080,8081,5190 а раньше были все порты разрешены.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	7. "Закончились ли свободные порты, nat на 1 реальный адрес"	+/–
	Сообщение от user (??) on 15-Окт-12, 20:31
	>> Check "/var/log/messages" and look for "ip_conntrack Table full. Dropping packet" > В логах такого нет > Имею такую статистику, это много или мало ? > ipfw nat 1 show > icmp=0, udp=1658, tcp=103571, sctp=0, pptp=0, proto=0, frag_id=29 frag_ptr=0 / tot=105258 > И это при том что сейчас сделал > allow ip from any to any 20,21,22,23,53,80,443,3389,8080,8081,5190 > а раньше были все порты разрешены. Та нахрен их запрещать. Делаете приоритизацию на выходе на внешней сетевой и внутренней и пусть качают :). Ставите прозрачный проксик и делаете редирект на него HTTP-трафика локальной сети. В проксике отключите CONNECT.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "Закончились ли свободные порты, nat на 1 реальный адрес"	+/–
	Сообщение от freebsdator on 15-Окт-12, 21:53
	> Та нахрен их запрещать. > Делаете приоритизацию на выходе на внешней сетевой и внутренней и пусть качают > :). Ставите прозрачный проксик и делаете редирект на него HTTP-трафика локальной > сети. В проксике отключите CONNECT. Как увязать между собой прокси с его delay-pools (или даже без него) и справедливый шейпер dummynet не совсем понятно.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "Закончились ли свободные порты, nat на 1 реальный адрес"	+/–
	Сообщение от PavelR (ok) on 16-Окт-12, 01:59
	>> Check "/var/log/messages" and look for "ip_conntrack Table full. Dropping packet" > В логах такого нет Да это он "пошутил" так. Это вообще из линукса типовая ругань на число коннектов. К фряхе отношения не имеет.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема