Přihlášení | Registrace

napište » Zprávičky

dnes 16:22 | Nová verze

Byla vydána betaverze Fedora Linuxu 42, tj. poslední zastávka před vydáním finální verze, která je naplánována na úterý 15. dubna. Z novinek (ChangeSet) lze vypíchnout edici KDE Plasma Desktop nebo spin Cosmic. Vydán byl také Fedora Asahi Remix 42 Beta pro Apple Silicon.

Ladislav Hagara | Komentářů: 0

SystemRescue 12.00

dnes 15:55 | Nová verze

Byla vydána verze 12.00 linuxové distribuce SystemRescue, původně SystemRescueCd, určené pro záchranu systémů a dat. Přehled novinek v changelogu. Přidána byla podpora bcachefs, Linux byl povýšen na verzi 6.12.19, GParted na verzi 1.7.0, nwipe na verzi 0.38, dump na verzi 0.4b49, …

Ladislav Hagara | Komentářů: 0

Google kupuje společnost Wiz za 32 miliard dolarů

dnes 14:44 | IT novinky

Google kupuje společnost Wiz za 32 miliard dolarů.

Ladislav Hagara | Komentářů: 0

Videozáznamy přednášek z Installfestu 2025

dnes 13:00 | Komunita

Byly zpracovány a na YouTube zveřejněny videozáznamy jednotlivých přednášek z letošního Installfestu.

Ladislav Hagara | Komentářů: 1

CyberBrick: Beyond Bricks, kampaň na Kickstarteru

dnes 12:11 | IT novinky

Společnost Bambu Lab spustila na Kickstarteru kampaň CyberBrick: Beyond Bricks. Jedná se o modulární systém programovatelných a dálkově ovládaných hraček. Objednat si lze jenom moduly s čipy a hračky si vytisknout na 3D tiskárně.

Ladislav Hagara | Komentářů: 0

Mikrokontroléry RP2350A a RP2350B volně v prodeji

dnes 01:22 | IT novinky

Mikrokontroléry RP2350A a RP2350B jsou již volně v prodeji. Představeny byly v srpnu loňského roku společně s Raspberry Pi Pico 2.

Ladislav Hagara | Komentářů: 0

GIMP 3.0

včera 20:33 | Nová verze

GIMP 3.0 byl oficiálně vydán (Mastodon, 𝕏). Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 7

Volba vedoucího projektu Debian 2025

včera 16:11 | Komunita

Od 6. do 19. dubna proběhne volba vedoucího projektu Debian (DPL, Wikipedie) na další funkční období. Kandidují Gianfranco Costamagna, Julian Andres Klode, Andreas Tille a Sruthi Chandran.

Ladislav Hagara | Komentářů: 7

Jarní soustředění KSP 2025

včera 01:55 | Pozvánky

Korespondenční seminář z programování (KSP) pražského Matfyzu pořádá i letos jarní soustředění pro začátečníky. Zváni jsou všichni středoškoláci a starší základoškoláci, kteří se chtějí naučit programovat, lépe uvažovat o informatických úlohách a poznat nové podobně smýšlející kamarády. Úplným začátečníkům bude určen kurz základů programování a kurz základních algoritmických dovedností, pokročilejším nabídneme různorodé

… více »

Vladimir Sklenár | Komentářů: 0

Pohled na forky Firefoxu

16.3. 17:33 | Zajímavý článek

Joe Brockmeier z Linux Weekly News vyzkoušel různé forky webového prohlížeče Mozilla Firefox: především GNU IceCat, Floorp, LibreWolf a Zen. V článku shrnuje, v čem se liší od výchozí konfigurace Firefoxu, co mají za vlastní funkcionalitu, jak a kým jsou udržované atd.

Fluttershy, yay! | Komentářů: 9

Centrum | Napsat | Starší

navrhněte » Anketa

Jaké je vaše preferované prostředí?

Vlastní on-prem kubernetes (27%)

Amazon AWS VPC (1%)

Amazon Elastic Kubernetes Service (EKS) (1%)

Azure VM (1%)

Azure Kubernetes Service (AKS) (1%)

Google Cloud Platform (GCP) (2%)

Vlastní server, nebo VM (65%)

Jiné (uvedu v komentáři) (2%)

Celkem 161 hlasů

Komentářů: 5, poslední 13.3. 11:45

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / NAT router

Štítky: CPU, firewally, HP, iptables, klient, Linux, nastavení, NAT, názor, osobní, problém, router, server, síť, sítě

Dotaz: NAT router

15.4.2013 19:28 georgo23
NAT router

Přečteno: 373×

Odpovědět | Admin

Zdravim, resim problem v nasi siti a jsem v koncich. Sit ma cca 2500 uzivatelu a cca 300 aktivnich prvku, de facto je temer cela jiz postavena na MRT, az na hranicni cast, kde je HP server a ten natuje cca nejakych 2000 useru do 16 verejnych IP adres. Problem je v tom, ze se nam urcite nahodne casti site zpomalily, a my hledame reseni. Patere jsou na 17 GHz ALcoma, sit je routovana. Vytizenost CPU je cca 15-45 % na obou jadrech. Natovaci tabulka je velmi jednoducha vzdy 4-16 subnetu pod jednou verejnou ip adresu. V ramci nasi site je sit da se rici rychla, rekneme ze dokud nedojde prave k LINUXU, jsou hodnoty na Bandw. testech takove, jake maji byt, pres uz vsak neprojde vse tak jak bychom ocekavali. Rekneme ze klient co ma mit nekde 20 Mb, je rad ze ma 4-6, a jinde treba ob vedle ma to co ma mit. Upozornuji, ze sit neni pretizena, Muj osobni nazor je ten, pruchodnost pres LINUX je ten problem, a tak hledam radu co vse se da doladit na nastaveni NATU ? Zde ukazka jednoho ze 16 pravidel NAT tabulky:

iptables -t nat -A POSTROUTING -s 192.168.1.0/21 -j SNAT --to-source VEREJN.NA.IP.ADRESA

Nástroje: Začni sledovat (1) ?

Odpovědi

15.4.2013 20:23 ewew | skóre: 40 | blog: ewewov_blog
Rozbalit Rozbalit vše Re: NAT router

Možeš sem vložiť obsah celých iptables ?

Root v linuxe : "Root povedal, linux vykona."

15.4.2013 21:59 georgo23
Rozbalit Rozbalit vše Re: NAT router

root@main:~# iptables -t nat -L -n
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       tcp  --  192.168.104.173      0.0.0.0/0           tcp dpt:80 to:ip.ip.ip.ip:80
DNAT       tcp  --  192.168.104.198      0.0.0.0/0           tcp dpt:80 to:ip.ip.ip.2:80
DNAT       tcp  --  192.168.104.58       0.0.0.0/0           tcp dpt:80 to:ip.ip.ip.2:80
DNAT       tcp  --  192.168.121.141      0.0.0.0/0           tcp dpt:80 to:ip.ip.ip.2:80
DNAT       tcp  --  192.168.126.14       0.0.0.0/0           tcp dpt:80 to:ip.ip.ip:80
DNAT       tcp  --  192.168.126.5        0.0.0.0/0           tcp dpt:80 to:ip.ip.ip:80
DNAT       tcp  --  192.168.227.13       0.0.0.0/0           tcp dpt:80 to:ip.ip.ip.2:80
DNAT       tcp  --  192.168.244.34       0.0.0.0/0           tcp dpt:80 to:ip.ip.ip.2:80
DNAT       tcp  --  192.168.244.34       0.0.0.0/0           tcp dpt:80 to:ip.ip.ip.2:80
DNAT       tcp  --  192.168.245.16       0.0.0.0/0           tcp dpt:80 to:ip.ip.ip.2:80
DNAT       tcp  --  192.168.54.3         0.0.0.0/0           tcp dpt:80 to:ip.ip.ip.2:80


Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
SNAT       all  --  192.168.0.0/21       0.0.0.0/0           to:ip.ip.ip.66
SNAT       all  --  192.168.8.0/21       0.0.0.0/0           to:ip.ip.ip.67
SNAT       all  --  192.168.16.0/20      0.0.0.0/0           to:ip.ip.ip68
SNAT       all  --  192.168.40.0/21      0.0.0.0/0           to:ip.ip.ip69
SNAT       all  --  192.168.48.0/21      0.0.0.0/0           to:ip.ip.ip70
SNAT       all  --  192.168.56.0/21      0.0.0.0/0           to:ip.ip.ip71
SNAT       all  --  192.168.64.0/21      0.0.0.0/0           to:ip.ip.ip72
SNAT       all  --  192.168.100.0/23     0.0.0.0/0           to:ip.ip.ip66
SNAT       all  --  192.168.104.0/21     0.0.0.0/0           to:ip.ip.ip73
SNAT       all  --  192.168.120.0/21     0.0.0.0/0           to:ip.ip.ip74
SNAT       all  --  192.168.128.0/20     0.0.0.0/0           to:ip.ip.ip75
SNAT       all  --  192.168.192.0/19     0.0.0.0/0           to:ip.ip.ip76
SNAT       all  --  192.168.224.0/20     0.0.0.0/0           to:ip.ip.ip77
SNAT       all  --  192.168.240.0/20     0.0.0.0/0           to:ip.ip.ip78
SNAT       all  --  192.168.98.0/23      0.0.0.0/0           to:ip.ip.ip66

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

pak je tam jeste pro FORWARD, ale tam je cca 2800 pravidel

15.4.2013 23:11 ewew | skóre: 40 | blog: ewewov_blog
Rozbalit Rozbalit vše Re: NAT router

Máš v reťazi FORWARD aj takéto pravidla ?

iptables -A FORWARD -i eth0 -o eth1 -s 192.168.0.0/21 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -s ! 192.168.0.0/21 -m state --state ESTABLISHED -j ACCEPT
iptables -A POSTROUTING -t nat -s 192.168.20.0/21 -o eth1 -j SNAT ip
iptables -I FORWARD -i eth0 -m state --state ESTABLISHED -j ACCEPT

Prvé pravidlo povolí prevádzku vstupujúcu cez eth0 z rozsahu 192.168.0.0/21. Druhe pravidlo povolí prevádzku z eth1, ktorá nie je v rozsahu 192.168.0.0/21 a je už vytvorené spojenie. Tretie je SNAT pre daný rozsah. Posledné pravidlo by malo povoliť prevádzku, ktorá už má záznam v conntrack tabuľke. Skúšal si pozerať prevádzku, ktorá prechádza, či tam nemáš nejake ICMP redirect ?

Root v linuxe : "Root povedal, linux vykona."

15.4.2013 22:41 j
Rozbalit Rozbalit vše Re: NAT router

Trochu malo informaci ... ale prvni nastrel - kolik mas tak otevrenych konexi v NAT tabulce? Kolik to papa RAMky?

Jinak ta sit je IMO dost velka na to, aby si zaslouzila vetsi porci IPcek ... ale ve 4ce to ted uz bude asi problem. Mozna by nebylo od veci NATu lehce ulehcit a nahodit IPv6 (mam na IPv6 kolem 20% trafficu generovanyho BFUckama = zadny spesl pouzivani).

Router na linuxu uroutuje klido desitky Gbit, takze v tom bych problem nehledal. Forward a 2k8 pravidel, to uz problem byt muze, pokud jsou blbe postavena. Nebylo by od veci to prozkoumat, a podivat se na to. Obecne plati, ze je nejlepsi postupovat od obecnych ke konkretnim pravidlum a paket terminovat co nejdriv. Je dobry mit trebas primo ve forwardu jen nejaky omezeny mnoztvi pravidel a dal to rozpadat do chainu. Pokud mas pravidla jako jednu hromadu pekne jedno za druhym ... tak to problem byt muze i zasadni, pokud se nejaky beznejsi nachazi nekde na konci, musi se otestovat vsechna.

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje