iptables перенаправить пакет, дубль 2

0

1

В предыдущей серии:

в инете есть машина с ip1 и есть машина с ip2. нужно tcp пакеты приходящие на ip1:9000 перенаправлять на ip2:9001.

на машине с ip1 сделано:

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -P FORWARD ACCEPT

iptables -A PREROUTING -t nat -j DNAT -p tcp -d ip1 --dport 9000 --to-destination ip2:9001

iptables -A POSTROUTING -t nat -j SNAT --to-source ip1 -d ip2 -p tcp --dport 9001

и это работает... но на множестве соединений безбожно тормозит...
я спал сегодня три часа и туплю, но может можно как то сделать более просто перенаправление без DNAT и SNAT ?

если нельзя то что можно потюнить для минимизации тормозов?

на ip1 и ip2 идентичные сетевые настройки (sysctl), количество максимальное соединений в настройках резко увелечино. тормоза при работе проявляются так: ping до ip1 резко возрастает, рулить ей по ssh становится практически невозможно, при этом процессор не загружен, ping до ip2 нормальный, процессор не загружен...

Ссылка

←	Обрыв VPN-подключения к серверу у клиентов

Проблема с NetGear GSM7224V2

→

Зачем SNAT? Одного DNAT'а должно хватить.

Pellaeon
(29.11.10 20:47:31 MSK)

Ответ на: комментарий от Pellaeon 29.11.10 20:47:31 MSK

Есть же маскарадинг. По крайней мере я пользую и не жалуюсь, а нагрузки огого какие бывают иногда)

Хотя маскарадинг по идее должен работать медленнее, чем SNAT.

Но если он уже включён, то SNAT не нужен))

Pellaeon
(29.11.10 20:52:51 MSK)

Ответ на: комментарий от Pellaeon 29.11.10 20:52:51 MSK

SNAT и MASQUERADE по сути одно и то-же.

машина ip1 должна прозрачно проксировать все запросы на свой порт на другую машину ip2. не понимаю откуда тормоза...

quest ★★★★
(29.11.10 21:36:45 MSK) автор топика

Ссылка

HELP!

quest ★★★★
(29.11.10 22:07:05 MSK) автор топика

Ответ на: комментарий от quest 29.11.10 22:07:05 MSK

Множество соединений это сколько? Покажите:

sysctl net.netfilter.nf_conntrack_max
sysctl net.netfilter.nf_conntrack_count
sysctl net.netfilter.nf_conntrack_buckets

ventilator ★★★
(30.11.10 01:43:15 MSK)

У него, судя по всему, ip1 не является роутером для ip2, поэтому потребовалось двойное преобразование.

А множество соединений, это сколько? А то может быть Вам на tcp-proxy посмотреть? (udp Вам вроде уже не нужен)

ansky ★★★★★
(30.11.10 03:23:24 MSK)

Ответ на: комментарий от ventilator 30.11.10 01:43:15 MSK

net.ipv4.netfilter.ip_conntrack_max = 1048576
net.ipv4.netfilter.ip_conntrack_count = 8
net.ipv4.netfilter.ip_conntrack_buckets = 8192

quest ★★★★
(30.11.10 09:10:29 MSK) автор топика

Ответ на: комментарий от ansky 30.11.10 03:23:24 MSK

у машины ip1 есть сетевуха eth1 с публичным ip на которую приходят пакеты и через которую она выбрасывает пакеты на ip2 с публичным ip

quest ★★★★
(30.11.10 09:12:09 MSK) автор топика

Ссылка

Ответ на: комментарий от ansky 30.11.10 03:23:24 MSK

факт в том что когда я пробрасываю одно тестовое соединение по другому порты все прекрасно, а когда включаю по основному и туда начинают ломится клиенты и все тормозит

quest ★★★★
(30.11.10 09:19:47 MSK) автор топика

Ссылка

Ответ на: комментарий от quest 30.11.10 09:10:29 MSK

sysctl net.ipv4.netfilter.ip_conntrack_count
как я понял это количество текущих соединений... только что наблюдал как оно плясало в районе 60000 и при видимо 65555 машина становится недоступна, потом количество спадает и она опять слегка доступна...

упирается в сетевой канал?
может какие таймауты вниз подкрутить?
выставил sysctl net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait=3

quest ★★★★
(30.11.10 09:24:59 MSK) автор топика

Ответ на: комментарий от quest 30.11.10 09:24:59 MSK

на машине ip2 при этом sysctl net.ipv4.netfilter.ip_conntrack_count в районе 9000 может

quest ★★★★
(30.11.10 09:39:07 MSK) автор топика

Ответ на: комментарий от quest 30.11.10 09:39:07 MSK

Уберите SNAT, разве для машины ip2 обязательно нужно чтобы трафик приходил src ip=ip1? Возможно достаточно написать дефолт роут в строну ip1 и не делать SNAT. Я не совсем понял, у вас в одном выводе net.ipv4.netfilter.ip_conntrack_count = 8 а потом вы говорите что 60000. Общее правило таково:

net.ipv4.netfilter.ip_conntrack_max=N*2
net.ipv4.netfilter.ip_conntrack_buckets=N

N - максимально наблюдаемое количество активных потоков(net.ipv4.netfilter.ip_conntrack_count)

tcp_timeout_time_wait=3 не нужно ставить.

В любом случае настройки хештаблиц для вас ситуацию вкорне не изменят, потому что упирается не в них.

ventilator ★★★
(30.11.10 11:32:32 MSK)

Ответ на: комментарий от ventilator 30.11.10 11:32:32 MSK

>Я не совсем понял, у вас в одном выводе net.ipv4.netfilter.ip_conntrack_count = 8 а потом вы говорите что 60000.

8 было при не запущенном тесте, я думал это статическая настройка

quest ★★★★
(30.11.10 12:43:09 MSK) автор топика

Ссылка

Ответ на: комментарий от ventilator 30.11.10 11:32:32 MSK

>Возможно достаточно написать дефолт роут в строну ip1 и не делать SNAT.

если бы ip1 был гейтом в локальную сеть ip2 то да, но в тут это машины с публичными адресами в разных городах

quest ★★★★
(30.11.10 12:47:23 MSK) автор топика

Ссылка

Ответ на: комментарий от ventilator 30.11.10 11:32:32 MSK

>В любом случае настройки хештаблиц для вас ситуацию вкорне не изменят, потому что упирается не в них.

ip_conntrack_max, ip_conntrack_buckets это настройки хештаблиц в которые складывается проначеный пакет чтобы возвращенный пакет то-же пронатить? а во что тогда упирается? как я понимаю либо в канал либо в настройки tcp стека, либо в настройки (реализацию) сетевого драйвера либо в общую производительность сетевой подсистемы (cpu почти не загружен)

quest ★★★★
(30.11.10 12:49:36 MSK) автор топика

Ответ на: комментарий от quest 30.11.10 12:49:36 MSK

ip_conntrack_max - максимальное количество записей в таблице conntrack, после переполнения начинаются потери пакетов. ip_conntrack_buckets - размер хеша, наибольшая производительность достигается когда он близок к активному количеству записей.

ventilator ★★★
(30.11.10 14:10:03 MSK)

Ссылка

Ответ на: комментарий от quest 30.11.10 12:49:36 MSK

сколько у вас трафика в мегабитах и килопакетах и какое железо?

ventilator ★★★
(30.11.10 14:10:31 MSK)

Ответ на: комментарий от ansky 30.11.10 03:23:24 MSK

>А то может быть Вам на tcp-proxy посмотреть?

что-ж попробуем. подскажите какой лучше - http://www.linux.org.ru/forum/talks/5627468

quest ★★★★
(30.11.10 21:49:27 MSK) автор топика

Ответ на: комментарий от ventilator 30.11.10 14:10:31 MSK

железо 8 ксеоновых ядер и 24 гига памяти, трафик достаточный

quest ★★★★
(30.11.10 21:53:35 MSK) автор топика

Ответ на: комментарий от quest 30.11.10 21:53:35 MSK

«достаточный» - это как то слабо описывает нагрузку ). 8 ядер прожуют гига 4 ната, однако сессий как то маловато по вашим счетчикам выходит.

ventilator ★★★
(03.12.10 00:52:25 MSK)

Ссылка

Ответ на: комментарий от quest 30.11.10 21:49:27 MSK

думается что нат будет быстрее чем прокси.

ventilator ★★★
(03.12.10 00:54:37 MSK)

Ответ на: комментарий от ventilator 03.12.10 00:54:37 MSK

от этой идеи и ната и прокси отказались зарулили трафик dns на другой сервер. сессий дофига висит, тысяч 300, думаю нужно пытаться уменьшать таймауты

quest ★★★★
(03.12.10 01:13:07 MSK) автор топика

Ответ на: комментарий от quest 03.12.10 01:13:07 MSK

300 сессий это не особо много при корректном размере хеша.

ventilator ★★★
(03.12.10 02:17:22 MSK)

Ответ на: комментарий от ventilator 03.12.10 02:17:22 MSK

300000 сессий

quest ★★★★
(03.12.10 12:01:18 MSK) автор топика

Ответ на: комментарий от quest 03.12.10 12:01:18 MSK

ну я и имел ввиду 300k

ventilator ★★★
(03.12.10 20:51:06 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Обрыв VPN-подключения к серверу у клиентов

Admin

Проблема с NetGear GSM7224V2

→

Похожие темы