Nevim, kde jsi prisel na to omezeni poctu spojeni, 65k je pouze portu. Jenze spojeni se vytvari na kazdou ip atd. takze pamet je potreba. A za tim strojem je hodne IP, pred nim taky atd. 65000 spojeni je limit pouze pro jednu IP / jeden stroj muze udelat nejvyse 65000 spojeni.
Ok. Berme příklad, že máme jeden stroj jakožto jeden centrální router s NAT. A představme si situaci kdy na rozhraní WAN jsou všechny src-porty třeba na TCP obsazeny(Pro každé spojení o různých src-portech už existuje jedna položka v connection trackingu). A vezněme si příklad kdy klient chce přistupovat k serveru, který už jednou v tabulce je. Jak potom bude router vědět který z paketů patří tomu či tomu klientovi? Samozřejmě nejsem neomylný, a je možné že se mýlím a, tak jsem provedl test(i když to bude nejspíše nějaká blbost a vím, že bych se toho asi neměl dopouštět):
:put ("Plna:" . [/system resource get free-memory ] . "kB\n\rPocet spojeni:" . [/ip firewall connection tracking get total-entries ] . "\n\r");
/ip firewall connection tracking set enabled=no ;
:delay 1s;
:put ("Prazdna:" . [/system resource get free-memory . "kB"])
Plna
Pocet spojeni
Prazdna
Tedy potom prostým kupeckým počtem:
12832kB - 12816kB = 16384B
16384B / 142spojení = 115B na jedno spojení
Což se mi zdá i tak moc pokud to vezmu takto:
src-address=4B
src-port=2B
dst-address=4B
dst-address=2B
protocol=1B-2B(nechce se mi to tady počítat)
time = něco
.
.
.
Je mi jasné, že se to také takto lehce nedá brát, protože to platí jen u spojení které nepoužívají con-mark,atd., ale i kdybych hodně přeháněl a řekl že na jedno spojení je potřeba 10kB, tak při 20000spojení dělá vytížení nějakých 195MB. Prostě jen chci říct, že se mi zdá 2GB zbytečně moc.
Nepredpokladam, ze masina techto parametru s 10000 mangle pravidel atd. bude cela natova do jedne IP adresy Ale samozrejme, ze jedna masina, na ktere je NAT, muze produkovat jenom 65k spojeni na tu svoji jednu IP. Jakmile pridam dalsi, tak jich mam za dalsich 65k atd. ;)
