[问题求助]求助：大家帮忙分析一下这两个路由脚本！ [复制链接]

我是做网吧的，一直用rh9..0linux做的软.路由。教育

我的脚本是这样的：
/sbin/modprobe i.p_tables外贸
/sbin/modprobe ip_n.at_ftp             电子
/sbin/modprobe .ip_conntra.ck_ftp.
e.cho "1">/proc/sys/net/ipv4/ip_forwa.rd           女人
echo "1">/proc/sys/net/ipv4/tcp.._syncookies.
echo ".1">/proc/sys/net/ipv4/icmp_ignore_bogus_error_res.ponses             电子
/sbin/ip.tables -F.
/sbin/ip.tables -t nat -F.
/sbin./iptables -X    外汇
/sbin/iptabl.es -Z(广告)
/sbin/iptables -A INPUT -i lo -j ACC.EPT.    健康
/sbin/iptables -A INPUT -p tcp. --dpo.rt 22 -j ACCEPT虚拟主机
/sbin/iptables -.A INPUT -.p tcp --dport 21 -j ACCEPT[成人用品]
/sbin/iptables .-A INPUT -p icmp --icmp-.type 8 -j ACCEPT            杀毒
/sbin/iptable.s -A INPUT -m state --state .RELATED,ESTABLISHED -j ACCEPT.
/sbin/ipta.bles -P INPUT DRO.P.
/sbin/iptables -..P OUTPUT ACCEPT教育
/sbin./iptables -P FORWA.RD ACCEPT健康
/sbin/iptables -t nat. -A POSTROUTING -s 192.168.0.0/24 .-o eth1. -j SNAT --to 61.178.*.*健康
/sbin/ipta.bles .-t nat -A PREROUTING -p tcp -d 61.178.*.* --dport 21 -j DNA.T --to 192.168.0.2:21健康
/sbin/arp -f

前几天和一个同.行朋友交流，看了.一下他的脚本，是这样的：    外汇
echo "0" > ./proc/sys/net/ipv4/tcp_.timestamps虚拟主机
echo "200000.0" > /proc/sys/net/ipv4/tcp_.max_tw_buckets             汽车
echo "30.000000" > /proc/sys/net/i.pv4/tcp_rmem.
echo "30000000" > /proc/sys/net/ip.v4./tcp_wmem            杀毒
e.cho "30000000" > /.proc/sys/net/ipv4/tcp_mem.
echo "10000000" > /pr.oc/sy.s/net/core/rmem_max          婚庆
echo "10000.000" > /proc/sys/net/core/rmem_defa.ult           建材
echo ".1.0000000" > /proc/sys/net/core/wmem_max投资
echo "10000000" > /p.roc/sys/net/co.re/wmem_default          婚庆
echo "10000000" .> /proc/sys/net/core/optmem_m.ax           建材
echo "30000" > /p.roc/sys/net/core/netdev_max_.backlog.
/sbin/modprobe. ip_tables    美容
/sbin/modprob.e ip_nat_ftp              乙肝
/.sbin/modprobe ip_conn.track_ftp电脑
/sbin/.iptables -F              乙肝
/sbin/ip.tables -F -t nat            杀毒
/sbin/ipta.bles -X          婚庆
/sb.in/iptables -Z(广告)
/.sbin/iptables -P INPUT ACCEP.T.
/sbin/iptables .-.P FORWARD ACCEPT--- 印刷
/sbin/iptables .-P OUTPUT ACCE.PT.
ec.ho "1" > /proc/sys/net/i.pv4/ip_forward           建材
/sbin/iptables -t n.at. -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE            杀毒
/.sbin/iptables -A FORWAR.D -s 0/0 -d 0/0 -j ACCEPT             汽车
/sbin/iptables -t nat -A .PREROUTING -p tcp -d 61.178.*.* --dport 21 .-j DNAT --t.o 192.168.0.2:21          婚庆
/sbin/a.rp -s -f /etc/ether.s外贸
我很不解，明明已经有了/sbin/iptables .-P F.ORWARD ACCEPT(        游戏          )
为什么在后面还要在加上./sbin/iptables -A FORWARD -s 0/0 -d 0/0. -j ACCEPT电影

大家帮忙看看，这两个脚.本到底哪个比较稳.定一些，哪个转发速度快一些，多谢了.

得睡觉了，明天再来

QUOTE:原帖由 platinum 于 2007-4-19 17:47 发表于 3楼  

这是逻辑上的冗余，那条规则是个废规则


这些东西如果不知道是什么意思不要去改，否则会出现相反的不稳定的结果

另外，你用的是 SNAT，他用的是 MASQUERADE，这点你比他的效率要略微高一些
从上面三点 ...

这是我查的内核参数的说明，看的不是很明白，大家帮忙分析分析，多谢了！
    echo "0" > /proc/sys/net/ipv4/tcp_timestamps
缺省值为1
Timestamps 用在其它一些东西中﹐可以防范那些伪造的 sequence 号码。一条1G的宽带线路或许会重遇到带 out-of-line数值的旧sequence号码(假如它是由于上次产生的)。Timestamp 会让它知道这是个 '旧封包'。(该文件表示是否启用以一种比超时重发更精确的方法（RFC 1323）来启用对 RTT 的计算；为了实现更好的性能应该启用这个选项。)
     echo "2000000" > /proc/sys/net/ipv4/tcp_max_tw_buckets
默认值是180000
系统在同时所处理的最大 timewait sockets 数目。如果超过此数的话﹐time-wait socket 会被立即砍除并且显示警告信息。之所以要设定这个限制﹐纯粹为了抵御那些简单的 DoS 攻击﹐千万不要人为的降低这个限制﹐不过﹐如果网络条件需要比默认值更多﹐则可以提高它(或许还要增加内存)。(事实上做NAT的时候最好可以适当地增加该值)
     echo "30000000" > /proc/sys/net/ipv4/tcp_rmem
(3个INTEGER变量)： min, default, max
min：为TCP socket预留用于接收缓冲的内存数量，即使在内存出现紧张情况下tcp socket都至少会有这么多数量的内存用于接收缓冲，默认值为8K。
   echo "30000000" > /proc/sys/net/ipv4/tcp_wmem
(3个INTEGER变量)： min, default, max
min：为TCP socket预留用于发送缓冲的内存最小值。每个tcp socket都可以在建议以后都可以使用它。默认值为4096(4K)。
   echo "30000000" > /proc/sys/net/ipv4/tcp_mem
(3个INTEGER变量)：low, pressure, high
low：当TCP使用了低于该值的内存页面数时，TCP不会考虑释放内存。(理想情况下，这个值应与指定给 tcp_wmem 的第 2 个值相匹配 - 这第2 个值表明，最大页面大小乘以最大并发请求数除以页大小 (131072 * 300 / 4096)。 )
    echo "10000000" > /proc/sys/net/core/rmem_max
该文件指定了接收套接字缓冲区大小的最大值（以字节为单位）
   echo "10000000" > /proc/sys/net/core/rmem_default
该文件指定了接收套接字缓冲区大小的缺省值（以字节为单位）
   echo "10000000" > /proc/sys/net/core/wmem_max
该文件指定了发送套接字缓冲区大小的最大值（以字节为单位）
   echo "10000000" > /proc/sys/net/core/wmem_default
该文件指定了发送套接字缓冲区大小的缺省值（以字节为单位）
   echo "10000000" > /proc/sys/net/core/optmem_max
该文件指定了每个套接字所允许的最大缓冲区的大小。
   echo "30000" > /proc/sys/net/core/netdev_max_backlog
该文件指定了，在接口接收数据包的速率比内核处理这些包的速率快时，允许送到队列的数据包的最大数目。

[ 本帖最后由 power1981 于 2007-4-19 21:11 编辑 ]

SNAT使用指定的地址，减少了获取接口IP的过程。MASQUERADE在SNAT前需要获取接口的IP，但不清楚是每次SNAT前查询，还是只查询一次。感觉应该是每次查询，因为重新拨号后，IPTABLES可以立刻适应新的IP。

[ 本帖最后由 ssffzz1 于 2007-4-19 20:27 编辑 ]

platinum  

能否谈谈SNAT 和 MASQUERADE的差异，效率上有什么不同？

QUOTE:我很不解，明明已经有了/sbin/iptables -P FORWARD ACCEPT
为什么在后面还要在加上/sbin/iptables -A FORWARD -s 0/0 -d 0/0 -j ACCEPT

这是逻辑上的冗余，那条规则是个废规则



QUOTE:echo "0" > /proc/sys/net/ipv4/tcp_timestamps
echo "2000000" > /proc/sys/net/ipv4/tcp_max_tw_buckets
echo "30000000" > /proc/sys/net/ipv4/tcp_rmem
echo "30000000" > /proc/sys/net/ipv4/tcp_wmem
echo "30000000" > /proc/sys/net/ipv4/tcp_mem
echo "10000000" > /proc/sys/net/core/rmem_max
echo "10000000" > /proc/sys/net/core/rmem_default
echo "10000000" > /proc/sys/net/core/wmem_max
echo "10000000" > /proc/sys/net/core/wmem_default
echo "10000000" > /proc/sys/net/core/optmem_max
echo "30000" > /proc/sys/net/core/netdev_max_backlog

这些东西如果不知道是什么意思不要去改，否则会出现相反的不稳定的结果

另外，你用的是 SNAT，他用的是 MASQUERADE，这点你比他的效率要略微高一些
从上面三点来综合评价看，他的不如你的好，他的有冗余、有不明其意的内核设置，有相对效率较低的 NAT

怎么没人理我？55555555555555555.........