Архив рубрики: Шлюз, инет

USB-3G модем от Интертелекома через mpd на FreeBSD

Тестовый стенд: FreeBSD 8.4 i386 Release, модем Novatel U720, mpd-5.7

При этом данный канал используется как вторичный, поэтому строки для шлюза по дефолту, получение DNS от пиров — закоментированы.

И так, вносим такой код в /usr/local/etc/mpd5/mpd.conf (отступы обязательны!):

Читать далее

Размеры очередей

FreeBSD

Переменная sysctl kern.ipc.somaxconn ограничивает размер очереди для приема новых TCP соединений. Значение по умолчанию 128 слишком мало для надежной обработки новых соединений для нагруженного web сервера. Для такого сервера рекомендуется увеличить это значение до 1024 или выше. Демон сервиса может сам ограничивать очередь приема новых соединений (например, sendmail(8), или Apache), но обычно в файле настройки демона есть директива для настройки длины очереди. Более длинная очередь также помогает избежать атак Denial of Service (DoS).

Читать далее

ipfw — default_to_accept

По умолчанию, ipfw что при сборке ядра, что при подгрузке модулем находится в режиме

deny all from any to any.

Иногда бывают ситуации, когда нужно иметь по дефолту последнее правило

allow all from any to any

Читать далее

Шейпер на Solaris

Нормального (с очередями, borrow и прочим) шейпера на Solaris — не существует. Зато есть отдельные сервисы flowadm и crossbow. Оба они не слишком идеально подходят для в качестве шейпера, но ограничивать полосу они могут. Рассмотрим только flowadm, так как crossbow больше подходит для виртуализации (кстати, именно им можно ограничивать скорость на виртуальных интерфейсах vnic).

Читать далее

pmacct — инструмент для учета трафика, рассчитанный на большие объемы.

Pmacct это инструмент для учета трафика, рассчитанный на большие объемы, разнообразные протоколы сбора данных (через libpcap, Netlink/ULOG, NetFlow v1/v5/v7/v8/v9, sFlow v2/v4/v5 и IPFIX), с возможностью реэкспорта (через IPFIX, NetFlow v5/v9 и sFlow v5) и сохранением данных в memory tables, MySQL, PostgreSQL, SQLite, BerkeleyDB и простые файлы. Имеются широкие возможности по тегированию, фильтрации, редиректа и аггрегации сохраняемых данных. Интегрированные BGP демон для эффективного учета междоменной маршрутизации и IS-IS/IGP демон для внутренней маршрутизации. Поддержка BGP/MPLS VPNs rfc4364. Возможности по инспектированию туннелированного трафика (GTP) и классификации.

Роутинг для сети без шлюза

У вас есть сервер, со своей подсетью (к примеру 1.1.1.2/24), шлюзом, выделенный провайдером. Представим ситуацию, что провайдер вам выделил ещё одну подсеть (к примеру 2.2.2.0/28), которая не пересекается ни с какой другой и не выделил шлюз. Если просто повесить алиасом на сервер адрес 2.2.2.2 то оно будем работать без нареканий. А что делать, если вам нужно этот адрес повесить внутри FreeBSD jail’a или Solaris zone или ещё какой-то хостовой машине внутри виртуальной?

Читать далее

vnstat простой и быстрый просмотр трафика.

Попалась мне на глаза эта небольшая и простая утилитка для подсчёта трафика. Решил опробовать. Скажу сразу — подойдёт она для небольших офисов или домашнего использования.

Читать далее

Несколько машрутов к одному источнику.

По умолчанию во FreeBSD можно использовать только 1 маршрут к одному и тому же источнику (в отличии от linux и Solaris этот функционал существует уже давно) Но Qing Li добавил , а Kip Macy дополнил такую поддержку и теперь можно не только задавать множество маршрутов к одному источнику, но и задавать «вес», делать балансировку на уровне соединений.

Данная функциональность работает, начиная с версии 8.0

Читать далее

[pf] Режем скорость через altq

Если вы работает с pf и во время загрузки правил получаете такое сообщение:

No ALTQ support in kernel
ALTQ related functions disabled

значит поддержка altq не включена. Включить можно только через пересборку ядра. Для этого добавляем такие опции в конфигурационный файл ядра:

Читать далее

jumbo frames

Jumbo-кадры (англ. Jumbo Frame) — это сверхдлинные Ethernet-кадры, которые используются в высокопроизводительных сетях для увеличения производительности на длинных расстояниях, а также уменьшения нагрузки на центральный процессор. Jumbo-кадры имеют размер, превышающий стандартный размер MTU: от 1518 до 16000 байт.
Как правило, они не превышают 9000 байт, поскольку в сетях Ethernet используется 32-битная CRC, которая теряет свою эффективность при объеме данных больше 12000 байт; к тому же 9000 байт вполне достаточно для передачи 8-килобайтной датаграммы (напр. NFS).

Читать далее