Миграция из ipfw на pf

Обсуждаем OS FreeBSD и сервисы на ней.

Re: Миграция из ipfw на pf

Сообщение mlevel » 28 фев 2011, 23:06

round-robin NAT как правильнее сделать на ipfw?
Насколько правильно работает? Нет ли проблем с FTP passive?
mlevel
новичок
 
Сообщения: 24
Зарегистрирован: 26 фев 2011, 22:57

Re: Миграция из ipfw на pf

Сообщение lehisnoe » 01 мар 2011, 19:21

round-robin NAT как правильнее сделать на ipfw?

Мы поступили иначе: натим серую /24 в один белый адрес - так удобнее с точки зрения и юза (он всегда выходит из под одного реальника) и ответов на запросы управления "К".

Насколько правильно работает? Нет ли проблем с FTP passive?

Нет.
No users
No troubles
No money
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
lehisnoe
Site Admin
 
Сообщения: 539
Зарегистрирован: 11 июн 2008, 14:09
Откуда: Moscow

Re: Миграция из ipfw на pf

Сообщение Андрей » 02 мар 2011, 00:03

lehisnoe писал(а):Мы поступили иначе: натим серую /24 в один белый адрес - так удобнее с точки зрения и юза (он всегда выходит из под одного реальника) и ответов на запросы управления "К".

Повесил алиасы на em0 (внешний ифейс) в кол-ве 10 штук. И натится сетка 172.16.0.0/24 на первый алиас, 172.16.1.0/24 на второй алиас и т.п.
Всяко лучше, чем натить на один адрес.
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: Миграция из ipfw на pf

Сообщение root » 02 мар 2011, 11:07

mlevel писал(а):round-robin NAT как правильнее сделать на ipfw?

а зачем тебе round-robin вообще ?
если он все же нужен, то вот тебе сЦылка на пример реализации NAT pool на ipfw
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Миграция из ipfw на pf

Сообщение mlevel » 02 мар 2011, 14:58

Натить 1000 человек через 1 белый ІР-адрес?
Интересует насколько правильно, без глюков будет работать такая схема(http://www.lissyara.su/articles/freebsd ... #example_7)?
mlevel
новичок
 
Сообщения: 24
Зарегистрирован: 26 фев 2011, 22:57

Re: Миграция из ipfw на pf

Сообщение Андрей » 02 мар 2011, 15:03

mlevel писал(а):Натить 1000 человек через 1 белый ІР-адрес?
Интересует насколько правильно, без глюков будет работать такая схема(http://www.lissyara.su/articles/freebsd ... #example_7)?

viewtopic.php?f=6&t=360&start=10#p4008 - тут как можно разнатить 2500 на 10 ip. На pf работает.
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: Миграция из ipfw на pf

Сообщение lehisnoe » 02 мар 2011, 17:10

mlevel писал(а):Натить 1000 человек через 1 белый ІР-адрес?
Почему через один-то? Я же грил, что натим в один адрес серую подсеть /24, а это 256 адреса в максимуме. Соотв., в твоем примере мы бы натили 1000 серых IP в четыре реальника.
mlevel писал(а):Интересует насколько правильно, без глюков будет работать такая схема(http://www.lissyara.su/articles/freebsd ... #example_7)?
Не могу сказать, т.к. не работали по такой схеме.
No users
No troubles
No money
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
lehisnoe
Site Admin
 
Сообщения: 539
Зарегистрирован: 11 июн 2008, 14:09
Откуда: Moscow

Re: Миграция из ipfw на pf

Сообщение mlevel » 02 мар 2011, 17:32

У меня самого на PF сейчас хорошо работает NAT.
mlevel
новичок
 
Сообщения: 24
Зарегистрирован: 26 фев 2011, 22:57

Re: Миграция из ipfw на pf

Сообщение Андрей » 02 мар 2011, 19:10

mlevel писал(а):У меня самого на PF сейчас хорошо работает NAT.

А к чему тогда вопрос про нат с одного ip в pf и схему на лиссяре c натированием подсети в один ip?
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: Миграция из ipfw на pf

Сообщение mlevel » 02 мар 2011, 22:15

Андрей писал(а):
mlevel писал(а):У меня самого на PF сейчас хорошо работает NAT.

А к чему тогда вопрос про нат с одного ip в pf и схему на лиссяре c натированием подсети в один ip?


я спрашивал:
mlevel писал(а):round-robin NAT как правильнее сделать на ipfw?
Насколько правильно работает? Нет ли проблем с FTP passive?

так как советовали полностью все перенести на ipfw, и pf не юзать.
root писал(а):
mlevel писал(а):Сейчас работает и pf и ipfw.
PF - выступает в роли NAT, ipfw - фильтрует трафик (около 30 правил). Но нагрузка на сервер растет, и работать будет лучше при одном файрволе. Выбрал PF, так как round-robin NAT проще реализовать.

решать конечно тебе, но kernel nat на ipfw тоже хорошо работает и я бы остался на ipfw
когда то у меня тоже так было как у тя, а сейчас все на IPFW в том числе и NAT
mlevel
новичок
 
Сообщения: 24
Зарегистрирован: 26 фев 2011, 22:57

Пред.След.

Вернуться в FreeBSD

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 13

cron