Preinstalovavam hlavní router a na dobu, nez to bude hotovo jsem tam
umistil starsi, zalozni. Jenze se objevil probelm s jeho propustnosti
nebo vykonem. Snazil jsem se hledat, kde je uzke hrdlo, ale nejak se mi
nedari. Proste se nedivam do pravneho mista.
situace je nasledujici:
Router, se kterym vse bezelo bez problemu byl:
MB Intel S3200SHC
CPU Xeon X3330 (2.66 GHz)
2GB RAM
FreeBSD 7.4 i386
No a ted tam je (docasne):
MB Intel S3000AHX
CPU Core2 Duo E6300 (1.8 GHz)
4GB RAM
FreeBSD 10.1 amd64
Pres stavajici router mi v maximu neprotece vic, nez cca 180 - 190 mbit,
pres bezproblemovy router bez potizi protekalo 250 mbit.
Mimo "zariznuteho" grafu toku pozoruju, ze se zvedne latence do vnejsi
site. Do vnitrni site je odezva bez kratka.
V prvnim okamziku mne napadlo, ze bude zdrzeni na firewallu (IPFW) na
shapingu (DUMMYNET), ale pravidla, ktera provoz posilaji do DUMMYNETu
jsou navazana pouze na provoz do vnitrni site. Takze bych tady cekal
zvysenou latenci dovnitr site, ne ven.
Pravidel, ktera vstupuji do provoz na venkovnim interface je minimum,
konkretne to jsou tato:
00010 allow ip from any to any via lo0
01000 skipto 10000 tag tablearg ip from { table(0) or table(1) or
table(9) or table(2) or table(4) or table(5) or table(10) or table(3) or
table(6) or table(7) or table(8) or table(11) or table(21) or table(29)
or table(22) or table(24) or table(25) or table(30) or table(23) or
table(26) or table(27) or table(28) or table(31) or table(51) or
table(59) or table(52) or table(54) or table(55) or table(60) or
table(53) or table(56) or table(57) or table(58) or table(61) } to any
in recv em1 // tohle je sice odskok pro zpracovani provozu z vnitrni
site, ale pravidlo stoji v ceste i packetu zvenci
01010 skipto 25000 ip from any to any in recv em0 // odskok na
zpravcovani prichoziho provozu zvenci
01020 skipto 30000 ip from any to any out xmit em0 // odskok na
zpracovani odchoziho provozu ven
<snip>
25000 deny log logamount 100 ip from any to 127.0.0.0/8
25000 deny log logamount 100 ip from 127.0.0.0/8 to any
25010 deny ip from table(124) to any
25020 allow ip from any to { ${inetpub} } // NF in
25030 nat 123 ip4 from any to any
29999 allow ip from any to any
30020 nat 123 ip4 from { ${inetpriv} } to any // N out
30060 allow ip from any to any
Jak je videt,
prichozi provoz je filtrovan pravidlem 25010 (tabulka o velikosti cca
500 polozek)
nasledne jsou propusteny vsechny packety z vnitrnich verejnych podsiti,
kde v ${inetpub} je seznam verejnych podsiti,
a je ve tvaru 1.2.3.4/24 or ... or 9.10.11.12/24 - tech podsiti je tam 5
a pak uz je preklad adres vseho ostatniho = privatnich podsiti
u odchoziho provozu jsou pak do NATu odeslany veskere packety z
privatnich podsiti, kde v ${inetpriv} je jejich seznam
172.16.1.0/24 or 172.16.2.0/24 or 172.16.3.0/24 or 172.16.4.0/24 or
172.16.5.0/24 or 172.16.6.0/24 or 172.16.7.0/24 or 172.16.8.0/24 or
172.16.9.0/24 or 172.16.10.0/24 or 172.16.11.0/24 or 10.48.210.0/24 or
10.48.211.0/24 or 10.48.212.0/24 or 10.48.213.0/24 or 10.48.214.0/24 or
10.48.215.0/24 or 10.48.216.0/24 or 10.48.217.0/24 or 10.48.218.0/24 or
10.48.219.0/24 or 10.48.220.0/24 or 10.48.221.0/24
--
Zbyněk Burget
Mlýnská 397
798 26 Nezamyslice
tel: 588 580 000, 739 930 931
http://www.burgnet.cz
IČ: 606 88 220; DIČ: CZ7210184674
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
