亚洲av成人无遮挡网站在线观看,少妇性bbb搡bbb爽爽爽,亚洲av日韩精品久久久久久,兔费看少妇性l交大片免费,无码少妇一区二区三区

  免費(fèi)注冊 查看新帖 |

Chinaunix

  平臺 論壇 博客 文庫
12下一頁
最近訪問板塊 發(fā)新帖
查看: 2365 | 回復(fù): 13
打印 上一主題 下一主題

多IP進(jìn)行SNAT的問題 [復(fù)制鏈接]

論壇徽章:
0
跳轉(zhuǎn)到指定樓層
1 [收藏(0)] [報(bào)告]
發(fā)表于 2006-09-29 11:51 |只看該作者 |倒序?yàn)g覽
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 900
net.ipv4.netfilter.ip_conntrack_buckets = 1048576
net.ipv4.netfilter.ip_conntrack_count = 56567
net.ipv4.netfilter.ip_conntrack_max = 1048576


由于網(wǎng)絡(luò)規(guī)模大,有幾千臺機(jī)器吧。高峰時(shí)期ip_conntrack_count 可以到20萬。使用6個(gè)公網(wǎng)地址做SNAT.

/sbin/iptables -t nat -A POSTROUTING -s 0.0.0.0/0 -j SNAT --to-source xxx.xxx.xxx.1-xxx.xxx.xxx.6

現(xiàn)在使用起來沒有任何問題。使用中發(fā)現(xiàn)公網(wǎng)地址是隨機(jī)的,瀏覽器刷新一次就會換一個(gè)。

統(tǒng)計(jì)/proc/net/ip_conntrack ,6個(gè)公網(wǎng)IP 利用均攤。

現(xiàn)在的問題是登陸論壇 郵箱等會不斷提示未登陸,無法通過驗(yàn)證。估計(jì)是服務(wù)器端發(fā)現(xiàn)來源ip改變的緣故。

不知道能否給小弟些建議?

論壇徽章:
0
2 [報(bào)告]
發(fā)表于 2006-09-29 12:29 |只看該作者
針對特定的 destination 使用固定的 IP 去 SNAT

論壇徽章:
0
3 [報(bào)告]
發(fā)表于 2006-09-29 12:42 |只看該作者
謝謝大哥回復(fù),這個(gè)工作也太大了。
好多使用diz 的論壇存在這個(gè)問題,21cn的郵箱也有這個(gè)問題。
也想過不同的來源使用不同的公網(wǎng)IP進(jìn)行NAT,只因?yàn)榻?jīng)過兩層NAT,有幾個(gè)來源地址本身就是下一級的NAT,不好分。

不知道能不能netfiter處理snat的時(shí)候,使用完一個(gè)IP再去使用下一個(gè)IP,不出現(xiàn)隨機(jī) 平均使用的問題。

[ 本帖最后由 wchun 于 2006-9-29 12:47 編輯 ]

論壇徽章:
0
4 [報(bào)告]
發(fā)表于 2006-09-29 13:17 |只看該作者
我有個(gè)問題
為何要浪費(fèi)那么多 IP 去 SNAT 呢?是怕 sock 不夠用嗎?

論壇徽章:
0
5 [報(bào)告]
發(fā)表于 2006-09-29 13:39 |只看該作者
最理想的情況,只有65535個(gè)端口可以使用,我定義的是1024-65500,當(dāng)conntrack超過65535-的時(shí)候.發(fā)現(xiàn).丟包嚴(yán)重?zé)o法上網(wǎng)。
一個(gè)IP顯然是不夠的。
也不知道是不是我的理解不對,請指教。

論壇徽章:
0
6 [報(bào)告]
發(fā)表于 2006-09-29 13:47 |只看該作者
1、“我定義的是1024-65500” 沒必要,畫蛇添足多此一舉
2、可以將網(wǎng)絡(luò)分成若干的段,分段做固定 IP 的 SNAT,這樣出了問題也相對好追究

論壇徽章:
0
7 [報(bào)告]
發(fā)表于 2006-09-29 13:52 |只看該作者
謝謝回復(fù),我進(jìn)行的NAT是在核心層,下面其中兩個(gè)區(qū)域已經(jīng)是通過NAT上來的,相當(dāng)于是兩次NAT。

論壇徽章:
0
8 [報(bào)告]
發(fā)表于 2006-09-29 13:57 |只看該作者
^_^
默認(rèn)狀態(tài),cat /proc/sys/net/ipv4/ip_local_port_range
1024    65000
想再增加500,呵呵。

論壇徽章:
0
9 [報(bào)告]
發(fā)表于 2006-09-30 05:32 |只看該作者
60000個(gè)端口,表示你可以向同一個(gè)ip地址同一個(gè)端口發(fā)起60000個(gè)連接,還不夠嗎?
你這種情況,請考慮使用iptables SAME target,不知道為什么這么重要的東西man里面沒有

SAME v1.2.11 options:
--to <ipaddr>-<ipaddr>
                                Addresses to map source to.
                                 May be specified more than
                                  once for multiple ranges.
--nodst
                                Don't use destination-ip in
                                           source selection

論壇徽章:
0
10 [報(bào)告]
發(fā)表于 2006-09-30 09:44 |只看該作者
60000個(gè)端口,表示你可以向同一個(gè)ip地址同一個(gè)端口發(fā)起60000個(gè)連接?

好像不是這樣子的吧?

NAT必須要建立一個(gè)會話表來對應(yīng)數(shù)據(jù)包與內(nèi)部真實(shí)主機(jī)的對應(yīng)關(guān)系.
您需要登錄后才可以回帖 登錄 | 注冊

本版積分規(guī)則 發(fā)表回復(fù)

  

北京盛拓優(yōu)訊信息技術(shù)有限公司. 版權(quán)所有 京ICP備16024965號-6 北京市公安局海淀分局網(wǎng)監(jiān)中心備案編號:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年舉報(bào)專區(qū)
中國互聯(lián)網(wǎng)協(xié)會會員  聯(lián)系我們:huangweiwei@itpub.net
感謝所有關(guān)心和支持過ChinaUnix的朋友們 轉(zhuǎn)載本站內(nèi)容請注明原作者名及出處

清除 Cookies - ChinaUnix - Archiver - WAP - TOP