ＬＩＮＵＸ做代理服务器，８００个客户端，经常出现系统崩溃

laoheimao

帮别人装过一台nat服务器, 用了六块8139网卡,连六栋楼,因为没有三层设备呀.
大概带了600台pc.硬件是p4 1.6G, 256M内存,有时候会死机.感觉是网卡差了点,经常有pci检测不到网卡.
我觉得1) 需要好一些的网卡,比如intel pro
2) 稳定一点的主板和电源  应该可以支持住

修理工

我在1200用户城区以太网中使用过LINUX AS3.0做NAT代理，流量达到50M左右，服务器单至强2.0的1G内存，利用IPTABLES做NAT 启用了DHCP服务，跑的很不错。

lsq726

[quote]原帖由 "pengyl"]一个校园宿舍网，大概有８００台左右的客户端，客户端有很多感染震荡波、冲击波等病毒的机器。用一台Ｐ４２．８/512/内存的机器安装ＲＨ９，做ＮＡＴ，做ＭＡＣ地址绑定，并封掉了已知的病毒攻击的端口，像１３５－?.........[/quote 发表：


看了..都看了..不懂..不过有个软件smoothwall 不知道对你有没有用..

zbyue

我现在就在用linux做代理，用户还比你多，但也没有问题，我是用squid+用户密码认证+MAC地址+IP地址，就是要用服务器版，因为内存很多方面要优化，服务器要内存大，CPU两块。关闭所有没有用的东西。

决对可以。

longs2000

这段时间一直在研究基于UNIX系统的FIREWALL(ROUTER)开放源软件。主要有以下几种：1.SMOTHWALL(IPCOP);2.M0N0WALL(楼上有人提到的).3.Sentry。
大家可以看看，应该可以满足需要。
说到硬件防火墙，我现在在一个大学实施项目，恰好有个东软的防火墙，型号4032。那次因为故障，东软来人调试，拆开机器我看了看，INTEL的桌面型主板,pIII500的CPU，128的内存，系统启动以后在一看，LINUX的内核。
就这些东西，大家看如何，当然肯定的是，厂家对系统做了优化。

zhiwood

换一个快一点儿的文件系统, 如RaiserFS

pengyl

先谢谢大家，经过对大家的意见综合考虑，我觉着二层交换机＋端口过滤＋LINUX代理服务器这种解决方案对于这个网络情况非常适合，因为投入很小（用了一台国产的二层交换机带端口过滤功能，锐捷的2126G），而且从使用状况来看基本解决了问题   
另外对于采TC进行流量控制的解决方案也非常感兴趣，等做几个实验，成功后应用一下。

testtonyzu

可以尝试用FreeBSD的ipfilter，在编译内核时候开启LARGE_NAT。
并且，可以用ipfw做流量整形。应该稳定性没的说。

急不通

原帖由 "q1208c" 发表：
那为什么一定要用三层的交换机呢？ 有二层交换机加路由器不行么？

三层交换好象很贵吧？

还有个办法，连路由器都不用——在server上加多个网卡，启用路由进程就可以了

LEOD

原帖由 "coolgg" 发表：
根据我的经验呢,即使是一个PIX525防火墙做NAT,在ip spoofing的tcp syn flood面前如果acl没有配置好的话也是几秒钟就死翘翘,连console都没反应.
所以出现问题的时候最好能用另一台机器抓下包看看,是不是有很多伪装的源地址在发起连接.
用防火墙规则先把源地址进行限制,然后再让nat的源地址限制生效,否则cpu就被胀死了.
如果伪装的源地址就是合法地址你就惨了,除了高速cpu或硬件没有什么好办法解决的.
BTW,2年前我一个同事用一个简易的软盘版linux系统做nat带过2000以上并发用户,流量超过60Mbps.很久没有联系过了,不知道是不是还在跑.

是否可以联系一下！！
发给我呢！？我试一下！！