https://slinkov.ru/openforum/vsluhforumID1/96133.html Добрый день.<br><br>Есть NAT-сервер на базе IPTABLES.<br>Нагрузка около 150 mbit/s, 70000-80000 пакетов в секунду.<br><br>Все работает отлично, кроме пропуска через NAT фрагментированных IP-пакетов, т.е. пакет размером 1501 байт, до сервера разбитый на 2 IP-пакета, попадает на сервер и собственно все.<br><br>Точнее сразу после начала передачи трафика через сервера несколько подобных пакетов проходят, потом - нет.<br><br>Где порыться?<br> https://slinkov.ru/openforum/vsluhforumID1/96133.html#14 Fri, 15 May 2015 03:25:04 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt;&gt; фрагментированных пакетов), видимо все-же проблема в нагрузке.<br>&gt;&gt;&gt;&gt; А про какую нагрузку вы говорите? сколько одновременных сессий в conntrack'е?<br>&gt;&gt;&gt;&gt; Сделайте максимально простой мсэ, замените вывод первых октетов iptables-save, ip ro, sysctl <br>&gt;&gt;&gt;&gt; -a &#124; grep forward <br>&gt;&gt;&gt; на текущий момент сессий в conntrack около 150000.<br>&gt;&gt; Это ниочём тормрза на 'олее-менее современной машине должны начинаться от 3 милионов.<br>&gt; Тоже так думаю, проблемы именно с пакетами, пришедшими из вне уже фрагментированными. <br>&gt; Читал, что перед тем, как попасть в NAT, фрагменты должны собраться в <br>&gt; пакет, может быть здесь проблема?<br>&gt; С остальным трафиком проблем нет, все натится нормально.<br><br>....удалено<br> https://slinkov.ru/openforum/vsluhforumID1/96133.html#13 Fri, 15 May 2015 03:22:12 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt;&gt; фрагментированных пакетов), видимо все-же проблема в нагрузке.<br>&gt;&gt;&gt;&gt; А про какую нагрузку вы говорите? сколько одновременных сессий в conntrack'е?<br>&gt;&gt;&gt;&gt; Сделайте максимально простой мсэ, замените вывод первых октетов iptables-save, ip ro, sysctl <br>&gt;&gt;&gt;&gt; -a &#124; grep forward <br>&gt;&gt;&gt; на текущий момент сессий в conntrack около 150000.<br>&gt;&gt; Это ниочём тормрза на 'олее-менее современной машине должны начинаться от 3 милионов.<br>&gt; Тоже так думаю, проблемы именно с пакетами, пришедшими из вне уже фрагментированными. <br>&gt; Читал, что перед тем, как попасть в NAT, фрагменты должны собраться в <br>&gt; пакет, может быть здесь проблема?<br>&gt; С остальным трафиком проблем нет, все натится нормально.<br><br>По поводу трансляции фрагментированного трафика был не в курсе. Действительно, фрагменты же пересылаются уже без указания номеров портов источника/назначения, а значит пакет должен быть собран полностью до помещения его в conntrack. Памяти достаточно?<br><br>Посмотрите тут<br>https://nikitushkin.wordpress.com/2 https://slinkov.ru/openforum/vsluhforumID1/96133.html#12 Thu, 14 May 2015 17:21:20 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt;&gt; фрагментированных пакетов), видимо все-же проблема в нагрузке.<br>&gt;&gt;&gt;&gt; А про какую нагрузку вы говорите? сколько одновременных сессий в conntrack'е?<br>&gt;&gt;&gt;&gt; Сделайте максимально простой мсэ, замените вывод первых октетов iptables-save, ip ro, sysctl <br>&gt;&gt;&gt;&gt; -a &#124; grep forward <br>&gt;&gt;&gt; на текущий момент сессий в conntrack около 150000.<br>&gt;&gt; Это ниочём тормрза на 'олее-менее современной машине должны начинаться от 3 милионов.<br>&gt; Тоже так думаю, проблемы именно с пакетами, пришедшими из вне уже фрагментированными. <br>&gt; Читал, что перед тем, как попасть в NAT, фрагменты должны собраться в <br>&gt; пакет, может быть здесь проблема?<br>&gt; С остальным трафиком проблем нет, все натится нормально.<br><br>Если вы продолжете не отвечать на вопросы с предоставлением доп.инфо. , боюсь я вам ничем помочь не смогу.<br><br> https://slinkov.ru/openforum/vsluhforumID1/96133.html#11 Thu, 14 May 2015 15:49:39 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; -P FORWARD ACCEPT <br>&gt;&gt;&gt;&gt; -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth0 -j SNAT --to-source x.x.x.x <br>&gt;&gt;&gt;&gt; При этом, если забить на всех абонентов и делать NAT только для <br>&gt;&gt;&gt;&gt; тестового - то начинает работать (т.е. нормально делать NAT для <br>&gt;&gt;&gt;&gt; фрагментированных пакетов), видимо все-же проблема в нагрузке.<br>&gt;&gt;&gt; А про какую нагрузку вы говорите? сколько одновременных сессий в conntrack'е?<br>&gt;&gt;&gt; Сделайте максимально простой мсэ, замените вывод первых октетов iptables-save, ip ro, sysctl <br>&gt;&gt;&gt; -a &#124; grep forward <br>&gt;&gt; на текущий момент сессий в conntrack около 150000.<br>&gt; Это ниочём тормрза на 'олее-менее современной машине должны начинаться от 3 милионов. <br><br>Тоже так думаю, проблемы именно с пакетами, пришедшими из вне уже фрагментированными.<br>Читал, что перед тем, как попасть в NAT, фрагменты должны собраться в пакет, может быть здесь проблема?<br>С остальным трафиком проблем нет, все натится нормально.<br><br> https://slinkov.ru/openforum/vsluhforumID1/96133.html#10 Thu, 14 May 2015 15:27:58 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; -P OUTPUT ACCEPT <br>&gt;&gt;&gt; -P FORWARD ACCEPT <br>&gt;&gt;&gt; -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth0 -j SNAT --to-source x.x.x.x <br>&gt;&gt;&gt; При этом, если забить на всех абонентов и делать NAT только для <br>&gt;&gt;&gt; тестового - то начинает работать (т.е. нормально делать NAT для <br>&gt;&gt;&gt; фрагментированных пакетов), видимо все-же проблема в нагрузке.<br>&gt;&gt; А про какую нагрузку вы говорите? сколько одновременных сессий в conntrack'е?<br>&gt;&gt; Сделайте максимально простой мсэ, замените вывод первых октетов iptables-save, ip ro, sysctl <br>&gt;&gt; -a &#124; grep forward <br>&gt; на текущий момент сессий в conntrack около 150000.<br><br>Это ниочём тормрза на 'олее-менее современной машине должны начинаться от 3 милионов.<br> https://slinkov.ru/openforum/vsluhforumID1/96133.html#9 Thu, 14 May 2015 14:45:08 GMT &gt;[оверквотинг удален]<br>&gt;&gt; -P INPUT ACCEPT <br>&gt;&gt; -P OUTPUT ACCEPT <br>&gt;&gt; -P FORWARD ACCEPT <br>&gt;&gt; -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth0 -j SNAT --to-source x.x.x.x <br>&gt;&gt; При этом, если забить на всех абонентов и делать NAT только для <br>&gt;&gt; тестового - то начинает работать (т.е. нормально делать NAT для <br>&gt;&gt; фрагментированных пакетов), видимо все-же проблема в нагрузке.<br>&gt; А про какую нагрузку вы говорите? сколько одновременных сессий в conntrack'е?<br>&gt; Сделайте максимально простой мсэ, замените вывод первых октетов iptables-save, ip ro, sysctl <br>&gt; -a &#124; grep forward <br><br>на текущий момент сессий в conntrack около 150000.<br> https://slinkov.ru/openforum/vsluhforumID1/96133.html#8 Thu, 14 May 2015 14:38:58 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; фрагментированными до сервера, не фрагментированные пакеты бегают нормально.<br>&gt;&gt; Iptables-save <br>&gt; Даже так не работает <br>&gt; -P INPUT ACCEPT <br>&gt; -P OUTPUT ACCEPT <br>&gt; -P FORWARD ACCEPT <br>&gt; -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth0 -j SNAT --to-source x.x.x.x <br>&gt; При этом, если забить на всех абонентов и делать NAT только для <br>&gt; тестового - то начинает работать (т.е. нормально делать NAT для <br>&gt; фрагментированных пакетов), видимо все-же проблема в нагрузке.<br><br>В момент предполагаемой высокой нагрузки пришлите вывод утилиты top<br> https://slinkov.ru/openforum/vsluhforumID1/96133.html#7 Thu, 14 May 2015 14:32:39 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; фрагментированными до сервера, не фрагментированные пакеты бегают нормально.<br>&gt;&gt; Iptables-save <br>&gt; Даже так не работает <br>&gt; -P INPUT ACCEPT <br>&gt; -P OUTPUT ACCEPT <br>&gt; -P FORWARD ACCEPT <br>&gt; -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth0 -j SNAT --to-source x.x.x.x <br>&gt; При этом, если забить на всех абонентов и делать NAT только для <br>&gt; тестового - то начинает работать (т.е. нормально делать NAT для <br>&gt; фрагментированных пакетов), видимо все-же проблема в нагрузке.<br><br>А про какую нагрузку вы говорите? сколько одновременных сессий в conntrack'е?<br><br>Сделайте максимально простой мсэ, замените вывод первых октетов iptables-save, ip ro, sysctl -a &#124; grep forward <br><br> https://slinkov.ru/openforum/vsluhforumID1/96133.html#6 Thu, 14 May 2015 14:20:47 GMT &gt;&gt;&gt; man iptables / mss <br>&gt;&gt; mss думаю не причем, проверяю путем отправки ICMP-пакетов.<br>&gt;&gt; Возможно, дело в нагрузке на сервер, несколько пакетов все-же проходят в самом <br>&gt;&gt; начале форвардинга трафика - потом глухо, смущает именно проблема с ip-пакетами, <br>&gt;&gt; фрагментированными до сервера, не фрагментированные пакеты бегают нормально.<br>&gt; Iptables-save <br><br>Даже так не работает<br><br>-P INPUT ACCEPT<br>-P OUTPUT ACCEPT<br>-P FORWARD ACCEPT<br><br>-t nat -A POSTROUTING -s 10.0.0.0/8 -o eth0 -j SNAT --to-source x.x.x.x<br><br>При этом, если забить на всех абонентов и делать NAT только для тестового - то начинает работать (т.е. нормально делать NAT для фрагментированных пакетов), видимо все-же проблема в нагрузке.<br><br>