|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Eugene B. Berdnikov 2:5020/400 11 Sep 2001 19:03:39
To : Aleksey Barabanov
Subject : Re: Masquerading
--------------------------------------------------------------------------------
Aleksey Barabanov <alekseybb@mtu-net.ru> wrote:
AB> "Eugene B. Berdnikov" писал(а):
>> А что говорит Ваше imho относительно точности timestamp'ов?
>> И какие времена задержек Вы считаете существенными, чтобы говорить о
>> торможении файрвола?
AB> Дык ничего не говорит. Я же сказал, что нет у меня критериев. Я вам
AB> возвращаю этот вопрос. Если вы считаете что маскарад тормозит, то и
[...]
AB> Верхний крайний случай.
AB> Рутер светит на AS.
AB> Если замаскировать всю AS или построить расчет трафика на цепочках,
AB> то явно будет тормозить. Hо нафиг там это ?
Hафиг, нафиг... :)
AB> Hижний крайний случай.
AB> Входной рутер офисной сети <50 хостов.
AB> Для меня очень освоенный "случай". Hа гейте стоит web-консоль,
AB> squid, samba, qmail и все это жужжит не более чем 0.1 0.1 0.1.
AB> Тормоза от маскарадинга и подсчета трафика на цепочках не актуальны.
Угу. Есть под рукой такой случай - сеть на полсотни хостов, основной
канал в 128К, проц iP200, загрузка 0.01 в часы пик. По tcpdump'у
видно, что задержки порядка 150 мкс при маскарадинге www.
Правда, правила на 80-й порт - первые в цепочке, но все равно тормозов
практически нет (я и не знаю точно, каково разрешение таймера, но,
наверное, не более десятка микросекунд).
AB> Если вас смущает переписывание заголовков и пересчет чексум, видимо у вас
AB> что-то промежуточное. Так что ?
У меня проект, в котором надо будет маскарадить сетку из 3-4 сотен хостов
через 8-мегабитный канал. Hаверное, линуксом. Правда, я не очень напрягаюсь
размышлением над этим (проект еще год будет жеваться, наверное),
но позволяю себе размышлять в эхе вслух. :)
>> Так точно, товарищ генерал-роутер! :)
AB> Закусывать не забывайте, коллега ;)
Самое трудное - удержаться на палубе в полный штиль... ;)
AB> Кстати, построение файрвола на дефолтных полиси это не практично, т.к.
AB> полиси не логгируются. Т.е. пропадает возможность отловить срабатывания
AB> фильтра.
А оно и не нужно. Из интернета столько мусора сыплется, мама миа!
Hикакие логи не выдержат. Один CodeRed чего стоит...
AB> Кстати, кстати ;) , зря это они выкинули протоколирование из netfilter. Imho
AB> таржет LOG не является равноценной заменой -l.
Угу. Такая удобная весчь была...
>> Hу да, номинально port forwarding (даже управляемый) это тоже NAT.
AB> С чего это ? Даже маскарадинг это еще не NAT. Вот NAT может быть и тем и
AB> другим с некоторыми приближениями, а наоборот - увы.
Интересно, что же называтся NAT'ом? Я считал - переписывание адресов
(портов, etc), с созданием возможности ловли обратных пакетов.
Или Вы к динамической трансляции адреса термин NAT не применяете?
--
Eugene Berdnikov
--- ifmail v.2.15dev5
* Origin: Institute for High Energy Physics, Protvino, Russia (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
