The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"ipfw natd все бегает, а вот с внешней стороны тормоза"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"ipfw natd все бегает, а вот с внешней стороны тормоза"  +/
Сообщение от dreamsurfer (ok) on 15-Дек-09, 19:39 
Товарищи гуру,
Заметил что если целятся со стороны инета к серверу, по все равно какому протоколу - скорость бешено маленькая.. аж жуть как будто нет вобще. если вырубаю правило ната то все шуршит быстро но без ната., правило в одну строчку, что бы его обнять правилами нетамса.

скрипт фаервола:
em0 - inet
em1 - lan

ipfw show:

#98 divert 199 ip from any to any via em0
#100 divert 8668 ip from any to any via em0
#101 divert 199 ip from any to any via em0


все было хоршо пока работало двумя правилами c доков и манов: айпишнег внешний статик.
/sbin/ipfw -q add divert natd ip from 192.168.0.0/24 to any out via em0
/sbin/ipfw -q add divert natd ip from any to 123.123.123.10 in via em0
Писал в одну строку с айпишнкимаи и подсетями- не натитсо.
Как же описать такое дело... Что бы было удаленно хоть комфортно работать...?

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "ipfw natd все бегает, а вот с внешней стороны тормоза"  +/
Сообщение от dicty email(ok) on 16-Дек-09, 01:34 
>Товарищи гуру,
>Заметил что если целятся со стороны инета к серверу, по все равно
>какому протоколу - скорость бешено маленькая..

В соседней теме мой такой же вопрос три дня уже висит без ответа. Скорость замерил по ФТП (тотал коммандером) с внешки - ровно 1 кб/с

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "ipfw natd все бегает, а вот с внешней стороны тормоза"  +/
Сообщение от Pahanivo email(ok) on 16-Дек-09, 08:33 
ipfw -a list
покажи

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "ipfw natd все бегает, а вот с внешней стороны тормоза"  +/
Сообщение от dicty email(ok) on 16-Дек-09, 09:06 
>ipfw -a list
>покажи

00100  13086 25217038 allow ip from any to any via lo0
00200      0        0 deny ip from any to 127.0.0.0/8
00300      0        0 deny ip from 127.0.0.0/8 to any
00400      0        0 skipto 10000 ip from 192.168.1.0/24 to 195.138.72.210 dst-port 25
00500   2146  2848772 allow ip from me to any dst-port 25
00600   3391   559728 allow ip from 192.168.0.0/16 to 192.168.0.0/16
00700      0        0 deny ip from 192.168.0.0/16 to not me dst-port 25
00800      2      656 deny ip from 192.168.1.0/24 to any in via em0
00900      0        0 deny ip from 195.138.72.208/30 to any in via em1
01000    165    30888 deny ip from any to 10.0.0.0/8 via em0
01100      0        0 deny ip from any to 172.16.0.0/12 via em0
01200      0        0 deny ip from any to 192.168.0.0/16 via em0
01300      0        0 deny ip from any to 0.0.0.0/8 via em0
01400      0        0 deny ip from any to 169.254.0.0/16 via em0
01500      0        0 deny ip from any to 192.0.2.0/24 via em0
01600      0        0 deny ip from any to 224.0.0.0/4 via em0
01700      5     1652 deny ip from any to 240.0.0.0/4 via em0
01800      0        0 deny log ip from any to not me dst-port 445
01900      0        0 deny log ip from not me to any dst-port 445
02000      0        0 deny log ip from any to not me dst-port 135
02100      6      360 deny log ip from not me to any dst-port 135
02200      0        0 deny log ip from any to not me dst-port 137-139
02300     12      576 deny log ip from not me to any dst-port 137-139
09000   4724   928319 fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to any dst-port 80 out via em0
10000 130084 28895942 divert 8668 ip from any to any via em0
10100      0        0 deny ip from 10.0.0.0/8 to any via em0
10200      0        0 deny ip from 172.16.0.0/12 to any via em0
10300      0        0 deny ip from 192.168.0.0/16 to any via em0
10400      0        0 deny ip from 0.0.0.0/8 to any via em0
10500      0        0 deny ip from 169.254.0.0/16 to any via em0
10600      0        0 deny ip from 192.0.2.0/24 to any via em0
10700      0        0 deny ip from 224.0.0.0/4 to any via em0
10800      0        0 deny ip from 240.0.0.0/4 to any via em0
10900  73255 28473968 allow tcp from any to any established
11000      0        0 allow ip from any to any frag
11100  68701  7008359 allow ip from any to any
11200      0        0 allow tcp from any to 195.138.72.210 dst-port 25 setup
11300      0        0 allow tcp from any to 195.138.72.210 dst-port 53 setup
11400      0        0 allow udp from any to 195.138.72.210 dst-port 53
11500      0        0 allow udp from 195.138.72.210 53 to any
11600      0        0 allow tcp from any to 195.138.72.210 dst-port 80 setup
11700      0        0 deny log tcp from any to any in via em0 setup
11800      0        0 allow tcp from any to any setup
11900      0        0 allow udp from 195.138.72.210 to any dst-port 53 keep-state
12000      0        0 allow udp from 195.138.72.210 to any dst-port 123 keep-state
65535      0        0 deny ip from any to any

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "ipfw natd все бегает, а вот с внешней стороны тормоза"  +/
Сообщение от Dreamsurfer on 16-Дек-09, 13:18 
>[оверквотинг удален]
>11800      0      
>  0 allow tcp from any to any setup
>11900      0      
>  0 allow udp from 195.138.72.210 to any dst-port 53
>keep-state
>12000      0      
>  0 allow udp from 195.138.72.210 to any dst-port 123
>keep-state
>65535      0      
>  0 deny ip from any to any

==
10000 130084 28895942 divert 8668 ip from any to any via em0
==
dumau chto nam nado perepisat etu strochku ispolzuya vmesto "any" staticu(s ney u menya vse shurshalo kak raketa).
Mojno Dvumya strochkami opisat Dlya Tebya poidet, dlya menya ne znau - NETAMS'om mojno toka odnu strochku obnyat ili ya zablujdau's:

pfw add divert natd ip from 10.101.60.71 to 80.73.1.114 via интерфейс
ipfw add divert natd ip from 80.73.1.114 to 10.101.60.71 via интерфейс

nemogu shas proverit - ofis sidit plotno na shnure. doma esli uspeu pod vmwaroq bsd+winda - proveru

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "ipfw natd все бегает, а вот с внешней стороны тормоза"  +/
Сообщение от Dreamsurfer on 16-Дек-09, 13:07 
>ipfw -a list
>покажи

vesco-nat# ipfw show
00098 1338346 752264819 divert 199 ip from any to any via em0
00100 1339131 752532433 divert 8668 ip from any to any via em0
00101 1338343 752264739 divert 199 ip from any to any via em0
00300 1339131 752532433 allow ip from any to any via em0
00400 1343323 753183929 allow ip from any to any via em1
00500    1626    592688 allow ip from any to any via lo0
65535       0         0 deny ip from any to any

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "ipfw natd все бегает, а вот с внешней стороны тормоза"  +/
Сообщение от Pahanivo email(ok) on 16-Дек-09, 13:33 
>vesco-nat# ipfw show
>00098 1338346 752264819 divert 199 ip from any to any via em0
>00100 1339131 752532433 divert 8668 ip from any to any via em0
>00101 1338343 752264739 divert 199 ip from any to any via em0

полный бред ...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "ipfw natd все бегает, а вот с внешней стороны тормоза"  +/
Сообщение от dicty email(ok) on 16-Дек-09, 23:49 
>полный бред ...

А по теме никаких мыслей нет?

P.s. У меня заработала скорость извне со следующим конфигом:

09000  318   59998 fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to any dst-port 80 out via em0
10000    0       0 divert 8668 log ip from 192.168.1.0/24 to any out via em0
10001  766  167209 divert 8668 log ip from any to 195.138.72.210 in via em0

Но пугают нули  счетчиках на 10000 правило.
Проверить, есть ли доступ из локалки в инет сейчас нет возможности.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "ipfw natd все бегает, а вот с внешней стороны тормоза"  +/
Сообщение от Pahanivo email(ok) on 17-Дек-09, 07:51 
>[оверквотинг удален]
>09000  318   59998 fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to
>any dst-port 80 out via em0
>10000    0       0
>divert 8668 log ip from 192.168.1.0/24 to any out via em0
>
>10001  766  167209 divert 8668 log ip from any to
>195.138.72.210 in via em0
>
>Но пугают нули  счетчиках на 10000 правило.
>Проверить, есть ли доступ из локалки в инет сейчас нет возможности.

меня терзают смутные сомнения - но я даже незнаю чтобы еще спросить
ибо с таким конфигом работать не должно!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "ipfw natd все бегает, а вот с внешней стороны тормоза"  +/
Сообщение от Dreamsurfer on 17-Дек-09, 10:33 
>[оверквотинг удален]
>>
>>10001  766  167209 divert 8668 log ip from any to
>>195.138.72.210 in via em0
>>
>>Но пугают нули  счетчиках на 10000 правило.
>>Проверить, есть ли доступ из локалки в инет сейчас нет возможности.
>
>меня терзают смутные сомнения - но я даже незнаю чтобы еще спросить
>
>ибо с таким конфигом работать не должно!

OPishi svoe pravilo esli moj

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "ipfw natd все бегает, а вот с внешней стороны тормоза"  +/
Сообщение от dicty email(ok) on 17-Дек-09, 11:28 

>ибо с таким конфигом работать не должно!

это не полный конфиг, а часть моего вышевыложенного.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "ipfw natd все бегает, а вот с внешней стороны тормоза"  +/
Сообщение от dicty email(ok) on 27-Дек-09, 13:43 
>это не полный конфиг, а часть моего вышевыложенного.

Вот к чему я сам пришел:
10000     7219     8572001 divert 8668 ip from any to 195.138.72.210 in via em0
10001     2918      161015 divert 8668 ip from 192.168.1.0/24 to any out via em0
Пакетики бегают, юзеры в инет ходят, я извне подключаюсь со скоростью канала. :)
Всем спасибо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "ipfw natd все бегает, а вот с внешней стороны тормоза"  +/
Сообщение от PavelR (??) on 27-Дек-09, 15:58 
>>это не полный конфиг, а часть моего вышевыложенного.
>
>Вот к чему я сам пришел:
>10000     7219     8572001 divert
>8668 ip from any to 195.138.72.210 in via em0
>10001     2918      161015
>divert 8668 ip from 192.168.1.0/24 to any out via em0
>Пакетики бегают, юзеры в инет ходят, я извне подключаюсь со скоростью канала.
>:)
>Всем спасибо.

А если это все дело еще и на ipfw nat переделать, тогда вообще всё шикарно будет.
Попробуй. Там только нат законфигурить (вместо запуска natd), да вместо divert 8668 заюзать ipfw nat.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "ipfw natd все бегает, а вот с внешней стороны тормоза"  +/
Сообщение от dicty email(ok) on 27-Дек-09, 23:50 

>А если это все дело еще и на ipfw nat переделать, тогда
>вообще всё шикарно будет.

Два вопроса: как переделать? (знал бы, к гуру не обращался бы)
что будет шикарно? ;-)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "ipfw natd все бегает, а вот с внешней стороны тормоза"  +/
Сообщение от Pahanivo email(ok) on 28-Дек-09, 08:40 
>>это не полный конфиг, а часть моего вышевыложенного.
>
>Вот к чему я сам пришел:
>10000     7219     8572001 divert
>8668 ip from any to 195.138.72.210 in via em0
>10001     2918      161015
>divert 8668 ip from 192.168.1.0/24 to any out via em0
>Пакетики бегают, юзеры в инет ходят, я извне подключаюсь со скоростью канала.
>:)
>Всем спасибо.

у вас юзвери во вне ходят исключительно на один айпи?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "ipfw natd все бегает, а вот с внешней стороны тормоза"  +/
Сообщение от dicty email(ok) on 28-Дек-09, 16:03 

>у вас юзвери во вне ходят исключительно на один айпи?

Не понял вопроса... А откуда это видно в моих конфигах?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "ipfw natd все бегает, а вот с внешней стороны тормоза"  +/
Сообщение от Pahanivo email(ok) on 28-Дек-09, 16:43 
>
>>у вас юзвери во вне ходят исключительно на один айпи?
>
>Не понял вопроса... А откуда это видно в моих конфигах?

всмысле ЧЕРЕЗ один айпи? алиасы?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "ipfw natd все бегает, а вот с внешней стороны тормоза"  +/
Сообщение от dicty email(ok) on 28-Дек-09, 17:37 

>всмысле ЧЕРЕЗ один айпи? алиасы?

Ну да, на шлюз выделен провом один IP, через него и ходят. :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "ipfw natd все бегает, а вот с внешней стороны тормоза"  +/
Сообщение от Pahanivo email(ok) on 28-Дек-09, 18:49 
>
>>всмысле ЧЕРЕЗ один айпи? алиасы?
>
>Ну да, на шлюз выделен провом один IP, через него и ходят.
>:)

и почему же интерено глюки пока не прописать принудительно внешний айпи?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "ipfw natd все бегает, а вот с внешней стороны тормоза"  +/
Сообщение от dicty email(ok) on 28-Дек-09, 18:59 

>и почему же интерено глюки пока не прописать принудительно внешний айпи?

Поэтому я и пришел сюда с вопросом )))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "ipfw natd все бегает, а вот с внешней стороны тормоза"  +/
Сообщение от Kos (??) on 28-Дек-09, 10:18 
>[оверквотинг удален]
>09000  318   59998 fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to
>any dst-port 80 out via em0
>10000    0       0
>divert 8668 log ip from 192.168.1.0/24 to any out via em0
>
>10001  766  167209 divert 8668 log ip from any to
>195.138.72.210 in via em0
>
>Но пугают нули  счетчиках на 10000 правило.
>Проверить, есть ли доступ из локалки в инет сейчас нет возможности.

Поставьте вместо 10000:
divert 8668 log ip from any to any out via em0

уберите 10001

и не парьте моск. Вместо того, чтобы копипастить гору непонятных правил, начните с простого и попробуйте вникнуть в смысл.
Счетчики у Вас на нуле, потому что на исходящем интерфейсе после прохождения через НАТ ip источника изаменяется на ip интерфейса, на котором висит этот самый нат, а он немножко не попадает в 192.168.1.0/24

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "ipfw natd все бегает, а вот с внешней стороны тормоза"  +/
Сообщение от dicty email(ok) on 28-Дек-09, 16:02 

>Поставьте вместо 10000:
>divert 8668 log ip from any to any out via em0
>
>уберите 10001
>
>и не парьте моск.

Да я бы моск не парил, но при таком конфиге (он был изначальный) скорость доступа извне была ооочень маленькой. Объяснения так и не нашел этому.
Потом путем проб и ошибок определил, какой конфиг является оптимальным. А это именно две строчки: отдельно для входящих запросов и для исходящих.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2023 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру