kolucci
Newbie | Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Проблема весьма интересна. Уже полгода не могу найти грабли, но наступаю на них регулярно. Есть шлюз на OpenBSD (та же самая ситуация и на FreeBSD, поэтому подозреваю скрылась проблема не в конкретном решении NAT или ядре операционной системы, а в протоколе, но это догадки), есть настроенный NAT (PF). На шлюз приходит 128 внешних адресов, имеется 4 интерфейса: 0. Канал интернета от провайдера 1. для внутренней сети IT-отдела и администрации предприятия 2. для клиентского пула ADSL 3. для DMZ Около 50 адресов транслируется за нат (клиенты на ADSL пользуются VPN, ставят свои Web-сервера и т.д.; так же для облегчения жизни некоторые машины IT-отдела имеют прямой адрес, ну и, соответственно, в DMZ приходят прямые). Остальные 450 клиентов выходят в интернет после трансляции с 5-ю адресами веб-сервера (назовем их cli_nat/29). IT-отдел и администрация (кто не имеет прямого адреса) выходят в интернет после трансляции с 5-ю другими адресами сервера (сохраняя терминологию it_nat/29). Но это только описание ситуации. Проблема в следующем: если все 50 правил трансляции применять сразу - ничего не работает. Если включать трансляцию по 3-5 записей все работает отлично (делаю это так: комментирую большую часть записей трансляции, применяю по горячему новую таблицу, раскомментирую еще 3-5 записей, снова применяю таблицу (pfctl -f /etc/pf.conf помогает) и т.д. пока не добавлю все записи). С чем это может быть связано и как выйти из ситуации? При этом до 10-15 записей после перезагрузки работают нормально! Электричество иногда пропадает. Никакой UPS не выдержит 3-5 часов без электричества. Поэтому хотелось бы в автомате получать рабочую машину после перезагрузки. Если очень понадобится, приведу конфиги. P.S. Hardware маршрутизаторы не предлагать - итак 2 года уговаривал начальство на Intel'овский сервер. |