https://opennet.me/openforum/vsluhforumID3/71899.html Вышло (http://lists.netfilter.org/pipermail/netfilter-announce/2010/000166.html) очередное обновление iptables, набора userspace-утилит для управления встроенным в ядро Linux фреймворком фильтрации и преобразования пакетов netfilter (http://www.netfilter.org/).<br><br><br>В новом релизе обеспечена полная совместимость с недавно вышедшим (http://www.opennet.ru/opennews/art.shtml?num=28363) ядром 2.6.36, включая поддержку таких возможностей, как:<br><br><br>- Критерий cpu, позволяющий выделять пакеты по привязке к процессорному ядру, на котором они в данный момент обрабатываются. В частности, этот критерий можно использовать для максимизации использования кэша CPU, обеспечив полную обработку каждого пакета в пределах одного процессорного ядра. Привязав серверный обработчик к конкретному ядру и заданному порту, можно отправлять на этот порт все пакеты, обрабатываемые данным ядром.<br>Так, например, будет выглядеть набор правил при наличии четырех процессорных ядер, по одному серверному процессу на каждое...<br><br>URL: http://lists.n https://opennet.me/openforum/vsluhforumID3/71899.html#34 Mon, 05 Dec 2011 10:12:23 GMT Xaionaro - полностью согласен!<br>Те кто удалил: NAT - "думали" головой между ног. :(<br>NAT - был, есть и будет всегда, это аксиома.<br>Маршрутизацию без: NAT - сделать возможно, но будет<br>страшный геморой, замешанный на костылях. :(<br><br>P.S. Для танкистов: попробуйте настроить обмен трафиком<br>в сети из двух (инет-сервер, рабочая станция) и более <br>компов, я очень хочу посмотреть на Ваши закипающие моСки. <br>Или вот еще веселее задача, обмен трафиком между сетями: <br>инет, диалап, вай-фай, локаль, защищенный периметр.<br>А теперь что-ить удвоить по числу объектов ....<br>И на закуску: умножить все, и еще балансировка.<br> https://opennet.me/openforum/vsluhforumID3/71899.html#33 Wed, 03 Nov 2010 08:59:55 GMT &gt;&gt;&gt; А зачем в IPv6 NAT?<br>&gt;&gt; Вы намекаете на избыточность адресного пространства? Иногда NAT требуется использовать<br>&gt;&gt; и в других целях (не только из-за отсутствия адресов). Хоть и<br>&gt;&gt; чрезвычайно редко, но, IMHO, НЕ реже, чем повышение TTL проходящих пакетов<br>&gt;&gt; :)<br>&gt; Например?<br><br>Ну, например когда есть сеть, в которой существуют маршрутизаторы, которые не в курсе о всех желаемых маршрутах. Например, эти маршрутизаторы могут быть не в курсе, что за тобой скрывается какая-то другая подсеть, поэтому предётся эту подсеть NAT-ировать. Ведь дело не только в кол-ве адресов, но и в корректно настроеной маршрутизации. Хотя это - далеко не единственная причина.<br><br>Иногда мне требуется натирование из диагностических целей. А если говорить про DNAT, то он мне не так давно требовался, чтобы обойти глюк одной програмки. Да и вообще, неужели не очевидно, что как и SNAT, так и DNAT - мягко говоря необходимы, в любом профессиональном фаерволле?<br> https://opennet.me/openforum/vsluhforumID3/71899.html#32 Mon, 01 Nov 2010 11:57:03 GMT или уже появился =)<br><br>http://netfilter.org/projects/iptables/files/changes-iptables-1.4.10.txt<br>&gt; extensions: REDIRECT: add random help<br><br>Надо будет еще раз изучить этот вопрос. Но желание всё равно не пропало =)<br><br><br> https://opennet.me/openforum/vsluhforumID3/71899.html#31 Mon, 01 Nov 2010 11:49:16 GMT &gt;&gt;&gt; А зачем в IPv6 NAT?<br>&gt;&gt; Вы намекаете на избыточность адресного пространства? Иногда NAT требуется использовать<br>&gt;&gt; и в других целях (не только из-за отсутствия адресов). Хоть и<br>&gt;&gt; чрезвычайно редко, но, IMHO, НЕ реже, чем повышение TTL проходящих пакетов<br>&gt;&gt; :)<br>&gt; Например?<br><br>Ну например REDIRECT в IPv6 под линукс отсутсвует, т.к. для работы в IPv4 использовался нат.<br><br>&gt; There is unfortunately no REDIRECT for ip6tables at this moment. We're currently<br>&gt; discussing some ideas how to implement REDIRECT like functionality (for transparent <br>&gt; proxes on the local host) without requiring NAT. This discussion is not finished,<br>&gt; and there is no implementation so far.<br><br>И уже лет 5 как ищут способ. У меня уже повяилось желание написать в рассылку что-нибудь типа "Harald Welte, are you still alive?" =)<br> https://opennet.me/openforum/vsluhforumID3/71899.html#30 Mon, 01 Nov 2010 11:19:40 GMT &gt;&gt; А зачем в IPv6 NAT?<br>&gt; Вы намекаете на избыточность адресного пространства? Иногда NAT требуется использовать<br>&gt; и в других целях (не только из-за отсутствия адресов). Хоть и<br>&gt; чрезвычайно редко, но, IMHO, НЕ реже, чем повышение TTL проходящих пакетов<br>&gt; :)<br><br>Например?<br> https://opennet.me/openforum/vsluhforumID3/71899.html#29 Mon, 01 Nov 2010 11:02:11 GMT &gt; А зачем в IPv6 NAT?<br><br>Вы намекаете на избыточность адресного пространства? Иногда NAT требуется использовать и в других целях (не только из-за отсутствия адресов). Хоть и чрезвычайно редко, но, IMHO, НЕ реже, чем повышение TTL проходящих пакетов :)<br> https://opennet.me/openforum/vsluhforumID3/71899.html#28 Mon, 01 Nov 2010 10:54:28 GMT А зачем в IPv6 NAT?<br> https://opennet.me/openforum/vsluhforumID3/71899.html#27 Mon, 01 Nov 2010 09:31:37 GMT &gt; netstat -4n &#124; wc<br>&gt; или<br>&gt; netstat -4n &#124; grep &lt;чево-нибудь&gt; &#124; wc<br><br>Ну, вот и ошибка. Надо узнать кол-во соединений в conntrack, а не в netstat. Советую поставить управляющую утилиту с одноимённым названием для conntrack и посмотреть в "conntrack -L".<br><br>Например тупо натированное соединение проходящие FORWARD-ом через ваш роутер никогда не отобразится в netstat.<br> https://opennet.me/openforum/vsluhforumID3/71899.html#25 Mon, 01 Nov 2010 06:18:56 GMT Самое плохое, что в IPv6 ната не будет. <br><br>&gt; When is support NAT table for Ip6tables?<br><br>Only over my dead body. We will never implement ipv6-to-ipv6 network address translation as long as I have any say in netfilter/iptables development. NAT is evil and causes horrible breakage of end-to-end on the internet. IPv6 has enough addresses and therefore no justification for NAT.<br><br>Казалось бы на переходной период ядро надо сделать более гибким, а они его кастрируют, урезают нужный функционал.<br>