设为首页
收藏本站
用户名
Email
自动登录
找回密码
密码
登录
注册
快捷导航
平台
Portal
论坛
BBS
文库
项目
群组
Group
我的博客
Space
搜索
搜索
热搜:
shell
linux
mysql
本版
用户
LinuxSir.cn,穿越时空的Linuxsir!
»
论坛
›
运维技术 —— LinuxSir.cn
›
网络技术\网络安全讨论
›
iptables做SNAT的问题
返回列表
查看:
1169
|
回复:
4
iptables做SNAT的问题
[复制链接]
orphen
orphen
当前离线
积分
2189
IP卡
狗仔卡
发表于 2006-3-30 01:00:04
|
显示全部楼层
|
阅读模式
iptables在做SNAT时,使用一个外网IP地址可以对内代理多少IP上网?
能够承受多大流量?对于1000左右的节点上网,机器硬件要求多少?
有没有人有经验?
回复
使用道具
举报
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
springwind426
springwind426
当前离线
积分
1779
IP卡
狗仔卡
发表于 2006-4-2 12:48:56
|
显示全部楼层
如果只是做SNAT的话,对机器的要求应该很低。
我以前用过dell2650(双CPU,2G内存)做过,大家提供4000节点。因为我还启用了squid,所以机器要求高点儿。我的系统占用平均只有30%。
如果不启用代理,找个入门级的服务器就可以了。条件必须是网卡要好。最好是3com或者intel的网卡。
回复
支持
反对
使用道具
举报
显身卡
orphen
orphen
当前离线
积分
2189
IP卡
狗仔卡
楼主
|
发表于 2006-4-2 15:51:32
|
显示全部楼层
现在的情况是单Opteron 242(好像是),1GB内存
连接跟踪数我设定到262144,剩余内存一般在130-150MB
感觉系统优点紧张
回复
支持
反对
使用道具
举报
显身卡
springwind426
springwind426
当前离线
积分
1779
IP卡
狗仔卡
发表于 2006-4-2 21:24:55
|
显示全部楼层
你最好启用防火墙,将常见扫描端口封掉,是在nat表的PREROUTING链中。
还有,因为现在有以80端口为扫描对象的病毒,因此,你要设置一下连接数限制,比如,每台主机基于80端口的连接数每秒不能超过10,这个数字你可以根据实际情况调整。
这样,有许多扫描行为不会被保存状态,因此连接跟踪数会少很多。
回复
支持
反对
使用道具
举报
显身卡
orphen
orphen
当前离线
积分
2189
IP卡
狗仔卡
楼主
|
发表于 2006-4-2 21:55:37
|
显示全部楼层
因为内部网络还是有些作为服务器来应用的,另外在上一级路由中已经把一些普通的135-139、445等端口过滤了,所以这个上面根本没做什么防火墙,你对还需要屏蔽的端口有什么建议?
连接数限制需要单独编译connlimit模块,因为使用的是AS4官方的内核,就没有加入
回复
支持
反对
使用道具
举报
显身卡
返回列表
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
注册
本版积分规则
发表回复
回帖后跳转到最后一页
浏览过的版块
Mandriva Linux
Slackware Linux
Debian Linux
硬件设备 Linux 驱动
MySQL
Archlinux讨论区
SuSE Linux
shell进阶应用、shell编程
Ubuntu Linux 专题讨论
Copyright © 2002-2023
LinuxSir.cn
(http://www.linuxsir.cn/) 版权所有 All Rights Reserved.
Powered by
RedflagLinux!
技术支持:
中科红旗
|
京ICP备19024520号
快速回复
返回顶部
返回列表
IP卡
狗仔卡
发表于 2006-3-30 01:00:04
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
楼主