Server nahodile neprovadi SNAT ven
Vlada Macek
macek na sandbox.cz
Pondělí Červen 15 11:35:36 CEST 2009
Zdravim,
muj server nektere jim vysilane pakety zapomina podrobit prekladu na
svou vnejsi adresu. To usti napriklad pri pingani v az 15% packet loss.
Je to Ubuntu 64bit, ma vnejsi rozhrani br0 a NAT pro skryti vnitrni site
192.168/16. Masina virtualizuje nekolik serveru pomoci kvm. Jeden z
NATovanych guestu (Debian 32bit, 192.168.100.2) ma smerovany dovnitr
temer veskery provoz, takze kdyz pingam zvenku, pingam toho guesta. Ping
z toho guesta ven ma taky takovy packet loss.
Studuji prikazem:
tcpdump -p -vv -n -i br0 host 192.168.100.2
To primo vypisuje pakety odchazejici uplne ven s intranetovou zdrojovou
adresou. Je jich docela hodne, nekdy i rada za sekundu, ruzne porty a
protokoly (vetsinou TCP 80). Problem je trvaly.
Tento guest je zatezovany desitkami paketu za sekundu, zejmena na port
80, protoze v nem bezi apache s hromadou virtualnich webu. Pozoruji (ale
jen pouhym okem), ze kdyz se zpracovava vice paketu, packet loss se zvysuje.
Kdyz v guestu vypnu apache, problem se minimalizuje _temer_ na nulu. Z
toho odhaduju, ze je to zatezi.
Dalsi NATovany guest (Ubuntu Intrepid server 32bit) potize nema, mozna
je to ale jeho minimalni zatezi. Treti, bridgovany guest s vlastnim
verejnym IP potize taky nema.
Udivuje me to, spis bych prekousl uplny vypadek paketu, ale zapomenout
NATovat? Googloval jsem, je to nekolikrat dotazovano, ale nenasel jsem
reseni.
Soustava nema jiny znamy problem.
Diky za vase tipy,
--
\//\/\
http://macek.sandbox.cz
http://www.easis.cz
Další informace o konferenci Linux