Deska na shapper

[loser]

jj mikrotik s QT pouzivame na shaping. driv jsme pouzivali SQ, ted do toho s velkyma porodnima bolestma roubujem ispadmina a ten umi jen QT.

Porodní bolesti? Rozepište se - zatim jsem slyšel na ispadmina samou chválu

[optinet]

spatne odesila maily s fakturama zakaznikum /neco neodesle vubec, ale neda o tom vedet/, blbne prirazovani plateb, pravidla do firewallu to zapisuje nekolikrat, protoze si neumi overit, zda uz tam dane pravidlo je, blbne shaping pri provozu pres eoip tunely, mizerny popis zakazniku v QT, neumi udelat DHCP lease z udaju v dbf.
to je jen par veci co me napadlo ted okamzite.

[mato1]

spatne odesila maily s fakturama zakaznikum /neco neodesle vubec, ale neda o tom vedet/, blbne prirazovani plateb, pravidla do firewallu to zapisuje nekolikrat, protoze si neumi overit, zda uz tam dane pravidlo je, blbne shaping pri provozu pres eoip tunely, mizerny popis zakazniku v QT, neumi udelat DHCP lease z udaju v dbf.
to je jen par veci co me napadlo ted okamzite.

tiez rozmyslam nad ispadminom... ale si prvy ktory sa stazuje. siel by si do toho znova po tvojich skusenostiach s tymto systemom? Vyvojari riesia tvoj problem ak si ho nahlasil?

[haklina]

My máme ted desku od supermicro, 4quad 2,4ghz procaky. Ale při cca 200mb/s je vitižení cca 40 %, bez jakých kolik pravidel, a občas se zaskne ( pokud je zapli multicpu=yes), Na režim jednoho procesoru dá max cca 250mbit/s , procak jede na 100% ,( jinak pakety sou v průměru cca 700-1000b každý). Vzhledem k tomu že má rb1000 proroutovat 2GB/s tak se mi to zda malo a už nevim kde hledat chybu.

[Maxik]

O tom ze ros 3.x se da nazvat stable jen tezko asi nevis co. Take bych predpokladal ze nekdo kdo routuje 250Mbit internetu uz by mohl mit lepsi system nez mikrotik / aspon by mohl umet cesky viz. ty hrubky v prispevku RB1000 ty 2gbity udela teoreticky Btestem s vyplym firewallem s poradnym manglem bude pekne funet uz pri 100mbitech, je to teda odhad ale rek bych ze o moc vic neda na QOS,shape routeru.

[haklina]

jaký je tedy jiný řešení ,než-li použít NetEnforcer od allotu za 1,5 Míče ? , jinak to RB100 jede jen z cca 5ti firewall pravidlama na 50% pri cca 200Mb/s

[soooc]

My máme ted desku od supermicro, 4quad 2,4ghz procaky. Ale při cca 200mb/s je vitižení cca 40 %, bez jakých kolik pravidel, a občas se zaskne ( pokud je zapli multicpu=yes), Na režim jednoho procesoru dá max cca 250mbit/s , procak jede na 100% ,( jinak pakety sou v průměru cca 700-1000b každý). Vzhledem k tomu že má rb1000 proroutovat 2GB/s tak se mi to zda malo a už nevim kde hledat chybu.

Kterou verzi MK mas? Mam tu desku od asusu, v ni 2 jadrovy celeron za par slupek a s multicpu se mi to jeste nehryzlo. Vykon teda neresim, moc tam nakonec nejde (10FD). MK 3.13

[Maxik]

do 20M mas lepsi Alix, PC je proti nemu desne velke a nezrizene zere elektriku

[haklina]

3.13 , sekne se asi jen při veliký zatezi , nevim jestli to z tim muze mít souvisot ale vcera v den kdy nam zvedly konekt na 300mbit, tak se to griblo po par hodinach, a to byl vitizenej na tech cca 40-50%. Pterdim to běželo cca měsíc bez problému.

[hapi]

5 firewall pravidel je něco jinýho než 1000 manglů a 500 src-natů. Pak to pude pěkně do kopru. Co třeba obyč distribuci linuxu na nějakym quad CPU. No a taky musim poznamenat že asi bude dost záležet na tom, jak jsou pravidla ve firewallu zapsaný.

Dejme tomu že máme 4 subnety a v každym 50 IP adres.

Teoreticky bude lepší na první místa umístit 4 pravidla, co při vyhovění na subnet jumpnou paket do extra chainu a tam teprve budou mangle těch 50 IP adres z toho subnetu. Teoreticky se musí project maximálně 51 mangů než se zjistí který vyhovuje a označku je paket.

Když se zadaji mangle klasicky za sebou, bude jich v jednom chainu ( třeba v postroutingu ) 200. Takže se musí zkontrolovat maximálně 200 pravidel než se najde ten vyhovující.

Je jasný že první způsob je na zadávání náročnější ale na zpracování bude rychlejší.

Jakej je váš názor?

Ještě mě napadlo, co když první jump pravidlo se bude řídit podle seznamu IP co budou v address listu. Pak už to asi zase nebude mít tak velkej smysl když se musí stejně project address list a pak se teprve rozhodne jestli se skočí nebo ne.

[iTomB]

5 firewall pravidel je něco jinýho než 1000 manglů a 500 src-natů. Pak to pude pěkně do kopru. Co třeba obyč distribuci linuxu na nějakym quad CPU. No a taky musim poznamenat že asi bude dost záležet na tom, jak jsou pravidla ve firewallu zapsaný.

Dejme tomu že máme 4 subnety a v každym 50 IP adres.

Teoreticky bude lepší na první místa umístit 4 pravidla, co při vyhovění na subnet jumpnou paket do extra chainu a tam teprve budou mangle těch 50 IP adres z toho subnetu. Teoreticky se musí project maximálně 51 mangů než se zjistí který vyhovuje a označku je paket.

Když se zadaji mangle klasicky za sebou, bude jich v jednom chainu ( třeba v postroutingu ) 200. Takže se musí zkontrolovat maximálně 200 pravidel než se najde ten vyhovující.

Je jasný že první způsob je na zadávání náročnější ale na zpracování bude rychlejší.

Jakej je váš názor?

Ještě mě napadlo, co když první jump pravidlo se bude řídit podle seznamu IP co budou v address listu. Pak už to asi zase nebude mít tak velkej smysl když se musí stejně project address list a pak se teprve rozhodne jestli se skočí nebo ne.

Mno taky jsem premyslel nad rozdelenim dle subnetu, ale zda se mi to dost zbytecne. Pocet pravidel v mangle pres 3000, pres 100Mbit/s a CPU jede kolem 3-8%. Trosku vylepseni a pohrani jsem delal na L7 filteru pro stejny trafic a tam se CPU pohybuje kolem 6-15%.

[michal.siman]

spatne odesila maily s fakturama zakaznikum /neco neodesle vubec, ale neda o tom vedet/, blbne prirazovani plateb, pravidla do firewallu to zapisuje nekolikrat, protoze si neumi overit, zda uz tam dane pravidlo je, blbne shaping pri provozu pres eoip tunely, mizerny popis zakazniku v QT, neumi udelat DHCP lease z udaju v dbf.
to je jen par veci co me napadlo ted okamzite.

tiez rozmyslam nad ispadminom... ale si prvy ktory sa stazuje. siel by si do toho znova po tvojich skusenostiach s tymto systemom? Vyvojari riesia tvoj problem ak si ho nahlasil?

pokracovani k tematu o ISPADMINu v tomto novem topicu prosim.

[Maxik]

3000 pravidel v manglu je zhovadilost sama o sobe

[hapi]

zhovadilost to neni. JInak to nevyřešíš.

iTomB: co tam máš za mašinu? Nějak se mi nezdá že při 100Mbit/s a 3000 manglů ti to jede kolem 3-8%. To by snad víc zatížil i samotnej routing při 100Mbit/s.

[Maxik]

optimalizace mangu ti asi moc nerika, nechapu na co 3000 pravidel 100-200 u hodne velke site bych chapal ale toto ne.