forum.opennet.ru

"Раздел полезных советов: Маршрутизатор на базе FreeBSD с при..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Маршрутизатор на базе FreeBSD с приоритизация трафика средст..."	+/–
Сообщение от artemrts (ok), 09-Апр-12, 18:47
1. То что PF работает в один поток - не есть проблема до 800 Мбит/с на недорогих интеловых гигабитках. Можете прочесть хотя бы тут https://calomel.org/network_performance.html В репозитории имеется отдельный проект, основной задачей которого задействовать SMP для пакетного фильтра, так что недалек тот час ... 2. По правилам. Вы хоть одну статью читали по оптимизации PF? Видимо нет. Из обязательных - PF: Firewall Ruleset Optimization написанная Даниэлем Хартмейером на OpenBSD Journal. Так вот основная суть оптимизации - максимальный шаг пропуска (skip step). Опция quick в правиле срабатывает сразу по первому совпадению, а не происходит дальшейшее прохождение с целью поиска совпадений по рулесету. По-поводу догадок о некорректности заворачивания. Такие конфги нормально работают на моих серверах давно и все нормально заворачивается. Поднимайте виртуалку и смотрите, а догадки оставьте при себе. >По умолчанию все правила pf имеют keep state, а это значит, что обратные пакеты будут >попадать под тоже самое правило и значит проходить те же очереди, что не является ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ >корректным. Это какая-то чушь, извините.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Раздел полезных советов: Маршрутизатор на базе FreeBSD с при..., auto_tips, 09-Апр-12, 14:27 [смотреть все]

пропускная способность такого решения упрется в цифру 150-180 Мбит сек Больше p, bga83, 09-Апр-12, 14:27 (1) //
- 1 То что PF работает в один поток - не есть проблема до 800 Мбит с на недороги , artemrts, 09-Апр-12, 18:47 (2) //
  - можно пример недорогой интеловской гигабитки А то как бы 82576 стоит не так уж, ragus, 12-Апр-12, 03:11 (24)
- Ерунда, все упрется в железо проц и сетевухи а не в ядро и софтЭто почему Все в, mma, 10-Апр-12, 05:46 (4)
- Нет, не будет проходить, и это FAQ ALTQ появляется в ядре путём патча сетевых др, Andrew Kolchoogin, 12-Апр-12, 00:51 (21)
возможно это проблема если адаптеров несколько при нагруженном хостинге vds нап, unscrubber2, 10-Апр-12, 07:29 (5) //
- gt оверквотинг удален А вот это уже интересно Я так понял планируется NPF п, artemrts, 10-Апр-12, 09:41 (6) //
  - gt оверквотинг удален У вас опечатка Им имелось вввиду NetBSD , artemrts, 10-Апр-12, 09:43 (7) //
    - да опечатался, по ссылкам же видно что о нетбсд речь оверквотинг удался , unscrubber2, 10-Апр-12, 13:21 (8)
И вот для этого предлагается ставить здоровый гроб с бсдой Да с этим тплинк 100, Аноним, 11-Апр-12, 01:40 (9) //
- Сейчас есть множество решений на Intel Atom, что куда функциональней китайских п, Alexander Sheiko, 11-Апр-12, 03:28 (10) //
  - Я использую FreeBSD 9, там pf45 в нем еще не реализован упомянутый вами синтакс, artemrts, 11-Апр-12, 09:57 (12) //
    - В пассивном тоже полезно, если открыты только определённые разрешённые порты PF, Alexander Sheiko, 11-Апр-12, 16:49 (17)
      - Может быть при драконовской конфигурации, когда открыто пол-десятка портов Но, artemrts, 11-Апр-12, 18:15 (19)
        
        Я на пятом опёнке раскидываю так code ps ax 124 grep ftp21897 Is 0 , Alexander Sheiko, 11-Апр-12, 20:21 (20)
  - Только они куда крупнее и прожорливее и не конфигурируются на 100 ремотно как п, Аноним, 11-Апр-12, 14:14 (13) //
    - Да ну - 15-25 Вт максимум при 100 загрузке двухъядерного Атома Клава и монитор, Alexander Sheiko, 11-Апр-12, 16:56 (18)
      - А упомянутое спасибо если 5 ваттов в максимуме жрет, если в юсб понацеплять винч, Аноним, 14-Апр-12, 16:52 (80)
  - а не затруднит вас подтвердить ваши слова ссылками на предложения с ценниками и , ragus, 12-Апр-12, 03:09 (23) //
    - Выбирайте http hotline ua computer materinskie-platy 7284-29309 , Alexander Sheiko, 12-Апр-12, 22:47 (53)
      - Разумеется - в формате mini-ITX Вот такое, к примеру http hotline ua computer, Alexander Sheiko, 12-Апр-12, 22:58 (54)
        
        Вот незадача то оно стоит как _три_ тплинка являющихся законченной системой в , Аноним, 14-Апр-12, 16:54 (81)
      - по ссылке какие-то комплектующие для PC1 блок питания 2 корпус 3 память4 на чём-, ragus, 12-Апр-12, 23:33 (56)
        
        На любой выбор Удобнее всего взять жёсткий диск - будет ещё бесплатное хранилище, Alexander Sheiko, 13-Апр-12, 00:47 (58)
        
        вы ценник законенного решения назовите ценник растёт я напоминаю про интегрир, ragus, 13-Апр-12, 01:09 (59)
        
        Стоимость системника дешёвого офисного ПК для секретутки Вот в этом и его плюс, Alexander Sheiko, 13-Апр-12, 02:15 (61)
        
        т е 200 где-то за эти деньги можно взять routerboard с 5-6 гигабитными интерф, ragus, 13-Апр-12, 15:27 (68)
        
        не те задачи, что бы роутермамку брать Опыт, уважаемый, опыт Ага, и вы раскажи, artemrts, 13-Апр-12, 19:01 (71)
        
        да, всего два админа за счёт экономии на количестве админов зарплаты выше я же , ragus, 13-Апр-12, 20:07 (74)
        
        Я ценю свое время и не хочу его тратить на прочтение ваших бредней Ну без обид , artemrts, 13-Апр-12, 21:14 (76)
        Ради правды, у указанного класса железок две беды, вторая БП - который сначала г, alex.h, 22-Апр-12, 15:11 (107)
        
        Да - десятком таких коробок в ящике, ждущих свою очередь на списание Живут до 2, Alexander Sheiko, 13-Апр-12, 21:18 (77)
        
        модель какая ок, я уточню ситуацию компания занимается логистикой офисы - это, ragus, 13-Апр-12, 23:24 (78)
        
        да, ещё у dir-620 на борту 802 11n wifi адаптер , ragus, 13-Апр-12, 01:42 (60)
        
        Это когда роутер у бухгалтера под тумбочкой - Лично у меня он в серверной и э, artemrts, 13-Апр-12, 07:43 (63)
        
        и что, по всему офису только провода и чем плох этот роутер в корпоративном се, ragus, 13-Апр-12, 14:16 (66)
        
        gt оверквотинг удален Причем тут провода, там где роутеру место от туда сигнал, artemrts, 13-Апр-12, 18:46 (69)
        
        ну приносили нам их на тесты 4VAP а сейчас умеют почти все более-менее приличны, ragus, 13-Апр-12, 19:11 (72)
        
        gt оверквотинг удален Сказки и чепуха Так суппорт удаленных филиадов не делаю, artemrts, 13-Апр-12, 21:09 (75)
        gt оверквотинг удален да чёрт с ним с саппортом лучше ответьте на мой вопрос , ragus, 13-Апр-12, 23:27 (79)
        
        Денег опять же стоят Во первых, диск можно и к роутеру прицепить если много не н, Аноним, 14-Апр-12, 17:22 (82)
- Дело в том, что такой гроб имеет больше возможностей Например, на этом сервер, artemrts, 11-Апр-12, 09:48 (11) //
  - Да ничего он не имеет В каждую первую железку за тыщщу льется тот же опенврт и , Аноним, 11-Апр-12, 14:22 (14) //
    - Что за бред Железки за тыщу рублей умеют максимум 70 kpps А этот гроб перев, iZEN, 11-Апр-12, 15:20 (15)
      - Изя, вы как всегда мимо кассы 1 для 1mpps надо гигабитный порт 2 для 100 мбит п, ragus, 12-Апр-12, 03:07 (22)
        
        За Изю когда-нибудь ты ответишь А здесь что Вот именно За 1000 рублей не куп, iZEN, 12-Апр-12, 07:41 (26)
        
        зачем 1GE порты при трафике до 100мбит автор писал про медленные adsl-линки 165, ragus, 12-Апр-12, 08:45 (27)
        
        Да вы про src conf ничего не слышали Для сервера многое из базовой системы не н, artemrts, 12-Апр-12, 09:40 (28)
        
        слышал и использую и что атому до вашего целерона как до луны пешком а про врем, ragus, 12-Апр-12, 09:57 (31)
        
        gt оверквотинг удален Молодой человек Эти полтора часа не проведенные за конс, artemrts, 12-Апр-12, 13:08 (36)
        
        вы ночью просто так работаете а где тесты, обкатка итп , ragus, 12-Апр-12, 13:27 (42)
        
        У меня есть нетбук на 455 атоме, он работает прилично быстрее МОЕГО целерона см, Alexander Sheiko, 13-Апр-12, 02:26 (62)
        lol Я о том, который Willamette - , artemrts, 13-Апр-12, 07:58 (65)
        
        У вас какое-то странное представление об однопоточности pf Однопоточный - не зн, artemrts, 12-Апр-12, 09:46 (30)
        
        спасибо, кэп dummynet вполне себе однопоточный и на него не жалуются может, с э, ragus, 12-Апр-12, 10:02 (33)
        
        А ты когда-нибудь ответишь за свои килобайты ламерского бреда Это хуже Поэтому, Аноним, 16-Апр-12, 20:49 (100)
        
        Бред даже коментировать лениво это connection tracking не костыль с его лине, Аноним, 12-Апр-12, 16:23 (51)
        
        когда сказать нечего - лучше молчать анонимные эксперты на марше в conntrack хэ, ragus, 12-Апр-12, 23:40 (57)
        
        Вроде бы тут раньше уже как-то обсуждали аппаратную акселерацию NAT, получалось , alex.h, 22-Апр-12, 15:56 (108)
      - Да вообще-то и больше умеют - 400МГц проц переварит и поболее, имхо Как раз под, Аноним, 14-Апр-12, 17:36 (83)
        
        Кто сказал атом В моём лексиконе такого слова нет Берём обычный 35-45 ваттны, iZEN, 14-Апр-12, 22:12 (85)
        
        изя, то, о чём ты тут пытаешься лечить - это делается на 82575 82576 и выше, кот, ragus, 15-Апр-12, 02:57 (86)
        
        gt оверквотинг удален , artemrts, 15-Апр-12, 10:35 (87)
        gt оверквотинг удален Абсолютно не верно Вы пробовали Атлон на 10Гбитных карт, artemrts, 15-Апр-12, 10:40 (88)
        
        а вы сами пробовали у него маленький кэш и относительно невысокая производит, ragus, 15-Апр-12, 15:55 (90)
        
        Так не надо переводить сбалансированнсоть системы в баксовый вклад каждого компо, artemrts, 15-Апр-12, 23:42 (92)
        
        скажите, лично вы роутили 10 гигабит на PC для описанной вами в статье задаче д, ragus, 16-Апр-12, 03:31 (94)
        
        Непонятный ответ на мои утверждения о непонимании вами сбалансированной системы , artemrts, 16-Апр-12, 10:36 (96)
        
        и давайте всё-таки вы ответите на мой вопрос про voip , ragus, 15-Апр-12, 16:03 (91)
        
        А разве я вам не ответил ранее , artemrts, 15-Апр-12, 23:44 (93)
        
        в том и дело, что нет задача проста астериск на внешней площадке, 2 офиса N1 , ragus, 16-Апр-12, 03:40 (95)
        
        А в чем проблема-то SIP IAX телефоны в своем влане Далее, все понятно , artemrts, 16-Апр-12, 11:09 (97)
        а в случае софт-телефонов ну а voice vlan - это выход, да только к чему тогда т, ragus, 16-Апр-12, 14:39 (98)
        gt оверквотинг удален Ну здесь да Определенные сложности есть Вообще потихонь, artemrts, 16-Апр-12, 15:15 (99)
        gt оверквотинг удален Вопрос в догонку А как вы решаете это с помощью Linux n, artemrts, 16-Апр-12, 21:57 (105)
        элементарно создание классов не привожу, это банально modprobe nf_conntrack_sip, ragus, 17-Апр-12, 08:23 (106)
        
        Для чего А слабо L7 filtering Ну ладно, хотя-бы QoS более-менее нормальный Пр, Аноним, 16-Апр-12, 21:01 (102)
        
        И получем здоровый жручий гроб с кучей вентилей норовящих забиться пылью, что ос, Аноним, 16-Апр-12, 20:58 (101)
      - Вот плохо даже не то, что Вами тут написано, а то, что не написано В то время, к, alex.h, 23-Апр-12, 00:23 (109)
- Ну это в этом случай такие скорости А сколько есть провайдеров, предоставляющих, artemrts, 11-Апр-12, 15:57 (16) //
  - 1 форвардить сотню мегабит на современных SoC не проблема даже софтварно 2 пробл, ragus, 12-Апр-12, 03:14 (25)
2 вопроса к автору 1 какова судьба торрент-трафика и как вы его класифицируете 2, ragus, 12-Апр-12, 09:45 (29) //
- После таких вопросов я могу сделать вывод, что читали статью через строчку, соот, artemrts, 12-Апр-12, 10:01 (32) //
  - я то читал внимательно вы пишете и я в упор не вижу классификацию по протоколу , ragus, 12-Апр-12, 10:04 (34) //
    - Еще раз внимательно читайте Трафик для сип пиров попадаеет в _hipri, торрент в , artemrts, 12-Апр-12, 13:05 (35)
      - в _hipri у вас попадёт только sip, но никак не rtp rtp у вас попадёт в _other и, ragus, 12-Апр-12, 13:16 (37)
        
        Блин ну яж говорю через строчку читаете pass in log on int_if inet proto tcp, artemrts, 12-Апр-12, 13:23 (39)
        
        gt оверквотинг удален и где тут RTP мы же с вами профессионалы давайте достан, ragus, 12-Апр-12, 13:26 (41)
        
        gt оверквотинг удален Вот 2 правила, описывающие исходящее с внешнего интерфей, artemrts, 12-Апр-12, 13:33 (43)
        
        ок, сигнализация ушла u_hipriок, весь исходящий udp ушёл в u_priи оно будет рабо, ragus, 12-Апр-12, 13:47 (45)
        
        gt оверквотинг удален Хорошо, согласен в RTP-трафике указывать адрес не нужно , artemrts, 12-Апр-12, 14:00 (47)
        
        1 работать будет только при canreinvite no2 сломается при выносе астериска на от, ragus, 12-Апр-12, 14:04 (48)
        
        Вы еще на Астере 1 4 Пора оперировать directmediaАбсолютно ничего не сломается, artemrts, 12-Апр-12, 14:22 (49)
        а можно подробнее, как вы его настроите заранее неизвестно какие порты будут ис, ragus, 12-Апр-12, 15:04 (50)
        Допустим корпоративный отдельный Aster впринципе так и нужно делать, кроме него, artemrts, 12-Апр-12, 18:05 (52)
        вообще, держать на роутере какие-либо сервисы - моветон а с directmedia yes ва, ragus, 12-Апр-12, 23:22 (55)
        gt оверквотинг удален Мне на ум приходит мысл, что вы просто не разобрались в, artemrts, 13-Апр-12, 07:51 (64)
        ага, с учётом того, что я пользовался pf ом ещё с момента его портирования во fr, ragus, 13-Апр-12, 15:17 (67)
        Это не аргумент Я в опенке еще ipf видел, кстати потом по инерции им еще на Фре, artemrts, 13-Апр-12, 18:50 (70)
        и какое это отношение имеет к call flow я рулил биллингом на 38млн абонентов, , ragus, 13-Апр-12, 19:48 (73)
        gt оверквотинг удален И как же вы с помощью ipfw payload будете разглядывать , Dmitriy, 29-Окт-12, 15:01 (112)
        uTP будет рад , Аноним, 14-Апр-12, 17:40 (84)
        И что вам этот uTP На 100 мегабитах роутер его не ощущает Для магистрального к, artemrts, 15-Апр-12, 11:32 (89)
        Да ну Этот чудный протоколец умеет ломовой PPS устраивать на радость софтороуте, Аноним, 16-Апр-12, 21:04 (103)
        
        А больше на ЛОХА похож, Аноним, 27-Окт-12, 20:25 (111)
    - gt оверквотинг удален Смотрите Трафик весь идет с высоким приоритетом hipri , artemrts, 12-Апр-12, 13:19 (38)
      - вы туда направляете только сигнализацию, но никак не пакетики с голосом всё что, ragus, 12-Апр-12, 13:23 (40)
        
        Совершенно ошибочное мнение У меня процент ТСР трафика торрента не более 20 Мо, artemrts, 12-Апр-12, 13:37 (44)
        
        а как вы отличаете торрент от не торрента и в таком случае по вашим же правил, ragus, 12-Апр-12, 13:49 (46)
        
        Во первых, не все провы, а только мелкотравчатые мелкие локалки с черти-чем вмес, Аноним, 16-Апр-12, 21:06 (104)
        
        Ага Qwerty Москва и Beeline там же Роутеры у хомяков часто вполне осиляют, к, XoRe, 07-Май-12, 23:16 (110)
Подскажите пожалуйста, как правильно прописать ограничение по скорости при ширин, Андрей, 18-Июл-13, 09:04 (113) //
- А разве в статье об этом не сказано Назначаем очередь на внешнем интерфейсе Вел, artemrts, 18-Июл-13, 10:15 (114)
Пробовал, но при загрузке правил вылетает вот такие ошибкиpfctl the sum of the , Андрей, 23-Июл-13, 16:29 (115)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру