Hi, All!

Некоторое время назад я рассказывал о внезапно появившейся проблеме связанной с мулом : http://www.dlink.ru/phorum/viewtopic.php?t=17478
Ну, кому лень читать, в 2-х словах : через N часов работы модем входит в "состояние обалдения" Было высказано предположение, что переполняется таблица NAT, и я тогда с этим предположением согласился ...

Сейчас у меня появились новые данные - это НЕ NAT !

Просто мне ужасно надо было пару файликов, я подстегивал мула как мог,ставил от отчаяния всякие странные эксперименты... (а модем приходилось ребутить каждые 5-8 часов) И вот - не знаю зачем я это сделал - не могу объяснить! - в какой-то момент я просто удалил правила для форварда портов - перезапустил мула и стал смотреть как оно будет жить с LowID ... Результат прост и ошеломляющ : проблема исчезла ...

Кто еще не понял, разжевываю: я перестал форвардить порты на машину с мулом, т.е. мой мул больше не принимает входящих соединений. Все соединения мула - исходящие. Все 100% проходят через NAT. "Нагрузка" на NAT выросла раза эдак в 2-3. А ему хоть бы хны ...

Выходит что модем "доставали" входящие соединения ?! Я этого не понимаю в упор... Ведь на это уходит 3 строчки в статической таблице - они гораздо менее "ресурсоемки" чем исходящие! У кого есть разумные предположения ?

Конечно, хочется проблему решить, но на первое место выступило желание понять "как такое возможно?" Готов записать лог обмена между модемом и машинкой с мулом, но что в этом логе искать ? В принципе (хотя это и геморней) можно даже поставить его бриджем и смотреть все что приходит извне, но опять же - что искать ?

Чисто теория
Давай подумаем что происходит когда у тебя LowID ?
пользователи к тебе не коннектяться, количество соединений не велико велико (меньше сотнии). На каждое соединение в таблице нат храниться запись. Причём даже когда соединение пропадает - эта запись храниться некоторое время (модему не известно - прекратилось ли соединение или просто пауза в передачи данных какая-то).

Теперь - ситуация когда ты принимаешь соединения.
к тебе ломяться куча народу (тысячи человек), у тебя стоит ограничение, ты им даешь отлуп. НО ! Соединения всё равно образуються, для того что бы дать отлуп всё равно используеться нат.
Итого - к тебе приходит врежеский осёл - ты ему говоришь "Извени - перегружен" , для того что-бы передать это сообщение , в таблице nat заводиться запись. И опять - она живёт некоторое время в модеме (пока в модеме не закончиться таймаут жизни этой записи).
Т.е. при разрешённых входящих у тебя (вне зависимости от того сколько ты разрешил на отдачу ) будет на порядок, а то и на два порядка больше записей. И т еоретически это может переполнить таблицу.

Категорически не согласен

Честно скажу - я не буду бить себя пяткой в грудь что якобы разглядывал соурсы линуксячей айпишности Больше того скажу: в ней хранится столько интересного и неожиданного - ООО!!! Ну например - можно ли завести на одной машине 2 интерфейса с одинаковыми адресами (и чтоб оно при этом работало!) ? Правильно - можно! :):) Или: может ли интерфейс, которому сказали down, продолжать плеваться пакетами? Правильно - может! :):) Ну и далее в том же духе Исходя из вышеизложенного, я вообще-то не сильно удивлюсь если прав окажешься ты

Но из общей логики : для входящих соединений никаких таблиц в нате не надо.... Смотри сам: пришел пакет снаружи на порт XXX - у нас есть тэкскэзэть "статическое" правило что у этого пакета надо заменить destip (& destport) и пустить дальше. Ответный пакет - заменить srcip и пустить дальше. Это - "чистый" port forward , без nat. Если есть nat - он еще смотрит исходящие пакеты на тему принадлежат ли они существующему соединению, или это новое, и если новое - занести его в ту самую переполняющуюся таблицу.

1) http://www.dlink.ru/phorum/viewtopic.php?t=10248
2) Вооще-то более 30 соединений за 5 минут лучше не ставить. ( проверенно)
3) У меня стоит 504Т - 2 компа - 2 eMule plus 1.1g (уже) - 2 миранды ( вариант аськи) - Teamspeak. Stream NEO 25. 24 часа в сутки. 7 дней в неделю. Подобных глюков не замечал.
Из всего этого сделаю вывод: проблема не в бобине....


P.S.
А какой емул?.... 0.4?.... Попробуйте Plus версию.... Проверенно многими - модем не вешает... Сам видел.....

Проблема не в бобине, проблема в пингвине.
Как бы странно все ниже сказанное не звучало, но это факт подтвержденный многими личными экспериментами.

С проблемой переполнения nat я столкнулся в середине декабря.
Надо заметить, что ослов пасу уже год и до этого проблем подобного рода не возникало. Поэтому теорию о том что сам p2p кладет роутер я отметаю.

Интересные наблюдения:
модем с прошивкой ADSL 1 и компьютером под линукс 2,6 (проверено на манраке и асп неоднократно! поэтому теорию о том что такого не бывает попрошу не высказывать. бывает. факт. а почему - вопрос другой) от 1 минуты до 3х суток (чаще при перезагрузке ОС Линукс на пк) модем выпадает в полную кому причиной которой является разрушение md3 кажется. точно не помню, давно это было.
лечится забиванием пальчиками чего-то типа "set env". еще раз повторю что эти вещи 100% связаны и ошибки (другой причины тут нет), т.к. это было раз 10 из них половина в течении минуты после загрузки ос Линукс. Тогда я с пингвинячими экспериментами решил завязать. В декабре я заимел в системе еще одну древнюю машину на которую повесил dns, самбу и прокси для собственного юзания. На модеме установил ADSL2 прошивку и поставил Линукс на основную рабочую машину, модем более в кому не вываливался. НО! При указании в качестве шлюза и днс модема тот же файрфокс (и все остальные) не конвертит ДНС имена в ипы. Хотя команда ping совершенно спокойно получает айпи и нормально пингует ресурсы.
Ситуацию исправляет: 1) роутер другой фирмы(без изменения конфигов). 2) указание внешнего ДНС вместо рутера (без замены модема).
Примерно с этого же времени начал наблюдать проблему "состояния обалдения" у модема.
Абсолютно уверен в связанности этих проявления, но не достаточно компетентен для того, чтобы понять причину.

-
PS специально для любителей говорить что "так не бывает":
полгода все работает, никаких проблем.
что-то меняю и перезагружаю комп (конечно с M$). На доп разделе стоит (с тех самых времен) ASP10 и она в ГРУБЕ по дефолту. Пока ходил за кофе прощелкал скрин загрузки. Прихожу - на экране приглашение войти "рутом", а на столе модем в коме.
Опять совпало?

Нужная и полезная фича - есть во всех серверных операционках (Novell, Winodws, *nix) во многих приличных коммутаторах и маршрутизаторах. Для дублирования и агрегирования портов.

Согласен.

а вот тут ты не прав. Приняв запрос (когда ещё не началась передача данных, а идёт собственно первоначальное обнюхивание двух осликов друг дрга )- emule делает кучу вещей. Как то проверяет по своей базе рейтинг вражеского ослика, проверяет всяческие чёрно-белые списки и т.д. и .т.п.
и скорее всего ответ он даёт отдельным сеансом. Т.е. он
Принимает запрос.
Закрывает входящий сеанс .
Обрабатывает запрос.
Делает обычный исходящий сеанс (да ещё и с произвольного TCP/IP порта , если я не ошибаюсь). Вот в исходящем сеансе и бедет активно использоваться NAT

Хм. Ну это-то проверяется ... Кому-то проще глянуть исходники мула, но у меня аллергия на "++" , мне проще tcpdump запустить и там поглядеть. Дня через 2-3 смогу это сделать.

И дополнение - посмотри логи Windows XP не пишет ли она вроде токого "Превышенно максимальное количество одновременных с оединений" ..
(пишу по памяти - могу и ошибиться , но суть именно в этой фиче которая появмлась в XP с появление SP2). А то может оказаться что дело вооще в Windows

А сколько оно у винды ?
Это так, из праздного любопытства - на самом деле у меня линух, и мула моего кличут amule
Но мне вчера звонил приятель - вот он под виндой - и рассказал что у него появились аналогичные проблемы Тоже 500T
На самом деле винда/не винда - значения не имеет, плохеет именно модемчику, это медицинский факт.

То же самое происходит и с 300T, ну у него же нет NAT, чему ему там переполняться? Стоит 150 соединений (10 за 5 сек)., через некоторое время дохнет. W2K Pro SP4
Файрволл (Norton) отключал - все так же.
У товарища под такой же системой исправно пашет 604-й при открытых 300 соединениях - и все ОК.

лечение проблемы сучествуетЪ , но оно вряд ли кого устроит - поставить модем в режим Bridge и управлять авторизацией и NAT'ом с компьютера, по крайней мере у меня подобная проблема с 300T пропала

у меня DSL-300T.
точно тоже самое. причем..

до 30 января сего года на модеме стаяла старая прошивка (уже не помню точно, что то за 2004 год). 30 января стрим перестал отвечать - звоню в тех-поддержку - мне говорят нужно перепрошиваться. нашел на ftp.dlink.ru прошивку за 22.04.2005, прошился.
именно отсюда начались проблемы с ослом: работаем нормально 2-3 часа с момента включения осла, после чего соединение валится.. acquiring network address. еще минут 20 нормальной работы. опять валимся... и так по кругу. время постоянно уменьшается. в итоге если скажим оставить систему мучаться в конвульсиях на ночь, то с утра, даже убив ослика, модем никакой.. даже ася валит соединение. помогает только ребут модема.

как мне показалось от файрвола не зависит. ибо и отключал совсем, и включал виндошный (xp sp2) и сторонний. без разницы.

пока вылечить не могу.

PS. до смены прошивки ослик работал замечательно.

DSL-500T, прошивка исходная (от 2004 года) либо новая, от 2005 - без разницы.
Стоит в режиме роутинга, БЕЗ NAT И FIREWALL. Через N часов работы с парой Donkey-клонов за ним впадает в состояние "спячки" - не принимает даже пинги. Гашу "ослов", освобождается некоторое кол-во коннектов, получаю возможность зайти телнетом.
cat /proc/net/ip_conntrack - тихий ужас...
Кто просил это от РОУТЕРА???
Пока не осознал, в правильном ли направлении двигаюсь, но "rmmod тра-ля-ля-все-что-можно" (т.е. все модули iptables) - исчезает ip_conntrack - полет нормальный... Если я правильно понял и модем перестал трассить коннекты, то это шанс...

ты абсолютно правильно всё понимаешь весь DoS не от NAT а от conntrack

Так чего делатьто????

500T в режиме роутера через свич у меня рвётся коннект когда осел качает в 10 потоков(например может и 5) и я еще с дугих машин пытаюсь что то скачать открыть?

Сколько таких коннектов на скачку закачку держит 500T, а сколько Стрим 25?

Ограничивать осла в настройках?


P.S. Зависит еще от дня бывает что вообще тока начинаешь еще кемто качать кроме осла сразу рвётся, а и еще от брозера зависит хуже всего с FireFox наверное он тоже пытается в несколько потоков скачивать, а вот Opera лучше в тех же условиях качает....