svestka a iptables řeší jak fw, nat tak i shaping? A na té gw mas nějaký svůj sw na tu kontrolu a optimalizaci jak píšeš? Nebo to umí přímo iptables si to kontrolovat? Možná se ptám blbe, ale na linuxu jsem nikdy neshapoval...

      jcltm to mas pravdu.. asi jsou ty zápisy minimální... ale když jsem to stavěl, tak jsem chtěl mít 100% jistotu... možná je to přehnane...😁

        drakgon to už chceš moc, dělá to kolega. dle mého skripty na kontrolu a optimalizaci konfiguráků jsou psané v C. Na čem je postavený shaping nevím, pro mě je důležitý že dělá co má 🙂
        Kdybys moc chtěl, můžu se optat.

            svestka docela by mě to zajímalo.. už jsem uvažoval nasadit na gw linux... na druhou stranu to ten stávající ROS zvládá..🙂

            • pgb replied to this.

                Pokud to pise v Ccku to uz asi skript nebude jinak klobouk dolu pred lidma co tohle davaj ja na to nemel nikdy moc casu od skoly jsem na c++ nesah 🙂 a to jsem to mel 4 semestry 🙂

                drakgon iptables jako takové nic sami od sebe neoptimalizují. Psal jsem to tu já a mnozí další .... pokud použiješ správné větvení v chainech tak není výrazný problém ani s hodně pravidly. Mk jede interně iptables, takže stačí uvažovat stejně a stromečkovat. Velkou změnou v optimalizaci jsou nftables a pokud by jsi stavěl nový linuxový firewall/shaper, tak stavět ho na iptables by byl velký nerozum. Utilitě tc se nevyhneš.

                PS: Co se týče jakéhokoliv SW (co psal třeba svestka), tak se vždybude jednat o mezivrstvu přijímající konfiguraci a generující jednotlivá pravidla do iptables/nftables/tc. Přemýšlet o tom, že by psal kdokoliv další alternativní implementaci ovládání netfilteru mimo iptables/nftables je nereálné.

                edit: teď píšu v go shaper, který dělá to, že stahuje z jednotlivých mk routerů pomocí api address listy a následně generuje shapovací strom: root => top trida(třeba 600Mbps rádio) => routery => sektory na routeru => uzivatele.

                  Ono je to jedno, jestli Mikrotik nebo Linux - s Linuxem je více práce s přípravou, ale ve finále to funguje velmi podobně (v obou případech je to víceméně iptables+htb a logika konfigurace je stejná).

                  Životnost serverových SSDček se dnes často uvádí v DWPD (počet přepisů za den při kterém disk vydrží 5 let). Větší disk má ve stejné úloze tedy větší životnost. Netvrdím, že je potřeba používat 2TB SSDčka, ale místo 128GB za 700 bych asi 258GB za 900 dal.

                  Při 10Gbps to už jedno není. Dle mě Linux s nftables to zvládne líp, než Mikrotik s iptables. Nemám ještě otestováno, ale pracuji na tom.

                  Zkusil jsem i reálné testy iptables vs nftables. Pokud máš hodně pps tak ten rozdíl je naprosto ohromující. Ty mapy pro nat a mark v nftables jsou velký zázrak. Markuji a natuji do 2Gbps + 120-200kpps a s tím cpu to hne minimálně. Víc ho zatíží inspekce a generování NetFlow.

                  Jako finální korunu pokud nepotřebuješ shaper, tak můžeš použít flowtables (mk fasttrack) a ještě si polepšit. Dokonce funguje i na IPv6 (ne jako u mk 🙂))

                  o 2 roky později

                  Zdravím pánove, trochu bych oživil toto téma v roce 2022. Chystám se stavět stroj (1U/2U) s 2x 10Gbit iface, Optimálně pro X86 Mikrotik. Kdyby na tom jela i verze 6 skákal bych radostí. A rád bych to už dimenzoval na cca 10 Gbit. Dejme tomu 1-1,5M pps download.

                  Mohli by jste mi někdo prosím poradit co za HW na to využít ? Eventuálně nějaké zkušeností i s RoS7? Šli by jste do toho na ostré GW? Nemám tam v podstatě nic. Pár (100) static rout, nat,mangle,qt, par pravidel ve FW.

                  Aktuální železo je SuperMicro CS-512L + Xeon E3-1340 v6 4-core 3,7GB a STGN-i2s karta. Zátež aktuálné max peak 45% a co se týká konfigu tak dle mých vědomostí a možností které znám jsou už provedeny max optimalizace 🙂 ...
                  Nyní tam je:
                  NAT 1:1 4000 pravidel
                  nějaký základní FW asi 40 pravidel
                  mangle 4000 pravidel + queue tree 4000 pravidel
                  Traffic download 4GBps peak, 500k-600k pps, upload zanedbatelny.
                  Eventuálně pokud tady někdo i skládáte tyto záležitosti na kšeft (vím, že třeba pan @hapi to kdysi myslím dělal) nebráním se nabídce.

                  Díky

                  Také zdravím,
                  taky právě uvažuju o novém stroji na GW, taky 2x 10GBit SFP, akorát na tom pojedu Linux.
                  Mám už i nějakou předběžnou nabídku na Supermicro, procesor Intel Xeon E-2278G, 3.4GHz, 8C/16T, 16MB. SFP karta stejná - AOC-STGN-I2S.
                  Ale taky se nebráním radám na něco lepšího.

                    • hapi

                      • Příspěvek č. 28
                      • Upraveno

                      klidně mi napište. Aktuálně se staví na asrock a ryzenech. Intel začal být nechutně drahý a to jak cpu tak desky pro něj. RoS7 se už taky nasazuje jako default. S tím jde i nástup novějších SFP+ karet i když to není vyloženě nutnost přecházet na novější.

                        sherlock stavěli jsme pro zákazníka shaper ASROCK + Ryzen (Raphael), Linux s nftables/HFSC + Cake, Intel 710 2x10/40G. Poměr cena/výkon oproti Intelu super. S testovacím vybavením jsme to nedokázali zatížit víc jak na pár procent, Klidně zavolej ...

                            pepulis jo, tohle je intel x520. S V7 lze už normálně používat x550 nebo x710 která už existuje i ve verzi 25Gbit.

                            Ta tvoje supermicro je naprosto v pořádku.

                                Jinak já si tak nějak sám zatím namyslel ze by to mohlo byt neco jako:
                                Supermicro MBD-C9Z490-PGW-O
                                Intel CML W-1270P 8core x 3,8 Ghz turbo 5,1 Ghz
                                8GB ecc ram
                                SATA DOM 8Gb na systém
                                STGN-I2s karta
                                a RoS teda 7 asi ... když říkáte že už je to "rock-stable"
                                Co si o tom myslíte ?

                                  crazyape To vychazi skoro stejne jako tohle 😃
                                  Kde male sitovky se hlasi jako:
                                  Intel Corporation I210 Gigabit Network Connection (rev 03)
                                  Intel Corporation I350 Gigabit Network Connection (rev 01)
                                  A velke:
                                  Intel Corporation Ethernet Connection X722 for 10GBASE-T (rev 04)
                                  Intel Corporation Ethernet Connection X722 for 10GbE SFP+ (rev 04)
                                  Mam to na Linuxu, ale mikrotik V7 uz to zna taky 😃

                                      Skúšali ste niekto Mellanox sieťovky? Majú nejaké výhody/nevýhody oproti Intel?

                                        📡 Telekomunikace.cz