求助：nat规则超过8000以后提示无法创建新接口，是否可以把nat拿出来单独做

sealin

ip fir nat下规则超过8000
另外vrrp有500多规则
再加上pppoe接口
总数可能超过9999了
log里提示无法创建新接口

想到一个解决办法
把nat全部映射到内网多台虚拟机ros上然后在每台虚拟机ROS里进行二次nat理论上可以一对多，突破9999的限制了
不知道这样是否可行，求老师们指点，谢谢啦

11

为什么要这么多防火墙规划啊？
9000条，一个数据就要重复处理9000次。好低的效率。
最新的内核linux 3.13已经支持nftables 的防火墙规则，即可以在一次处理中处理N个规则，效率大大提高。
可以试试用最新的内核做防火墙。

sealin

11 发表于 2014-5-27 21:49
为什么要这么多防火墙规划啊？
9000条，一个数据就要重复处理9000次。好低的效率。
最新的内核linux 3.13 ...

主要是3389端口转发，要转发到不同的内网ip上，所以没法一条规则多个转发，只能一个个设置，就会比较多了谢谢指点
你说的内核是指的ros6.X新版本么？

phenlit

那用不着8000这么多，你VRRP也就500个，就算你有500线且全做映射，也就500来条

bill_deng

偶的神呀，8000多条规则，能不能在系统截几个图来开开眼？

dajun

8000多条规则，神人啊！

xuxi3201

一个数据就要重复处理8000次。好低的效率               
cpu是不是负载很重

sealin

phenlit 发表于 2014-5-29 20:30
那用不着8000这么多，你VRRP也就500个，就算你有500线且全做映射，也就500来条

nat规则有7000多条

sealin

xuxi3201 发表于 2014-5-30 17:45
一个数据就要重复处理8000次。好低的效率               
cpu是不是负载很重

cpu用的e5-2670*2双路
负载35%左右
现在看还不错
稳定运行了半年了
主要是nat仍然不够用
考虑nat单独做
看来还是要自己实验下
等我结果吧

qiqi00612

sealin 发表于 2014-6-6 23:10
cpu用的e5-2670*2双路
负载35%左右
现在看还不错

为什么你非得要用3389是RADMIN吗？你可以用主动连接的软件啊！比如向日葵，他有个快速连接的把8K的码计到你一个号上做好备注就成了吧？想连那个点那个