Nagy NAT több ip?!

Hálózatok egyéb

Üdv egy olyan kérdésem lenne, hogy állítólag a nagyobb natolt hálózatoknál(>200 kliens) több publikus címre kell natolni(?!) mert külömben lassul a munkafolyamat. Addig értem a dolgot, hogy néhány szolgáltató szálakra korlátozhatja a bizonyos IP-ről érkező kéréseket ezáltal lassulhat az egész munkafolyamat(pl. böngészésnél ad.adverticum.net, img.adverticum.net). Tudom, hogy ez így elég hülyén hangzik, de valakinek van ilyenirányú tapasztalata ezekkel a nagyobb natolt hálózatokkal? (Feltételezem igen :-) )

  • 1188 megtekintés

( deta | 2007. 07. 16., h – 16:43 )

200 kornyeken ha nem valami extra regi gep minimalis memoriaval, akkor nem lesz gond. Tobb ezer natolt IPnel mar kell egy erosebb gep sok memoriaval, vagy cel hw.

( andrej_ v | 2007. 07. 16., h – 16:45 )

Első körben nézd meg hogy a gépeden a kernel szerintem mennyit tölt csúcsidőben system állapotban a gép. A másik a memória. Harmadik körben ha minden okés, akkor a helyi egyik LAN-t A IP-ről a másikat meg B IP-ről ereszd ki.

pf-el valahogy így néz ki (miután felvetted mindkét ip-t a publik interfészen):
nat $ext_if from $egyikhalozat to any -> $elso_kulso_ip
nat $ext_if from $masikhalozat to any -> $masodik_kulso_ip

A dologra egyébként lehet hogy a transzparens proxyzás valamekkora segítséget ad.

nem tudom, menne-e, de iptables esetén random match + NEW state esetén megoldható. Kérdés, hogy a rendszer mennyire képes a RELATED,ESTABLISHED kapcsolatokat is ennek megfelelően kezelni. Biztos más is belefutott már ebbe, így van rá kernel patch, esetleg valami egyszerű megoldás is...

Koszi a valaszt. Igazabol andrej alltal emlitett pf megoldas tokeletes lenne, de a kerdesem arra vonatkozo resze tovabbra is all, hogy ez egyaltalan szukseges, elfogadott, megszokott megoldas-e. Mert eddig nekem a NAT egyenlo volt az egy publikus ip-re forditassal.

Nálunk csúcsidőben 6-700 gép címe NATolódik 10-12 címre. Van olyan alháló ahol több mint 200 regisztrált gép jut 1 NAT címre. Egy 1600 MHz-es P4 512 MB memóriával NATol és tűzfalazik, nem volt kimutatható rajta terheltség most tavaszig. Akkor is a PCI fogyott el, néha túl sok volt neki a megszakítás. De ezt a megoldást nem ajánlom, mi is váltani fogunk. Technikailag nincs vele gond, viszont meglehetősen nehéz visszakövetni a NAT mögötti gépek ténykedését. Eddig 2 rendőrségi megkeresésünk volt, de nem tudtunk segíteni. Persze lehetne logolni de ez nálunk túl sok adatot generálna, van annyi szabad publukis IP-nk, hogy az említett több mint 200-as alhálót 10-20 gépes részekre szegmentáljuk.

Mik

Ez egy nagy sokszintes épület, a 10-20 gép az egy szint negyede kb. ezzel sokkal könyebb a gépekkel így bánni, mint 200-al egészben. Hogy még konkrétabb legyek, kollégiumról van szó és bizony a hallgatók ügyesek, pedig nem műszaki suli. Ahhoz hogy a gépeket kívülről is azonosítani tudjuk 2 megoldás lehetséges: vagy minden forgalmat logolounk netflow, squid, pcap, akármi segítségével vagy kellően kicsi subneteket csinálunk. Mi ez utóbbit szeretnénk, a megvalósítása nálunk egyszerűbb. A probléma: jön a rendőrség, hogy 1.2.3.4 IP címről valami nagyon-de-nagyon csúnya dolgot műveltek, ki volt az? Nem vagyunk ISP, nem vagyunk kötelesek választ adni (legalábbis így tudom), de akkor sem kellemes aztmondani, hogy "nem tudom"...

Mik

pf-nél elvileg van roundrobin, ha ua. hálót adod meg forrásnak és a két ip-t. Ezt még sosem próbáltam, meg nemigazán volt rá szükség. A gyakorlatban ez két tökegyforma szabály (a publik ip-k kivételével) és mögéjük irod hogy round-robin és elvileg már jó is.