NAT

[koos]

Делаю переадресацию порта
ipnat.rules
rdr fxp0 from 192.168.0.30 to any port = №porta -> 192.168.0.100(сервер) port №porta
map fxp0 from 192.168.0.30 to 192.168.0.100 port = №porta -> 192.168.0.77(шлюз)
все работает но через час отвалилось и ребут не помагает...

[setar]

видимо я мало знаю линукс, перечитав 2 раза вопросов у меня возникло больше чем ответов.
но самое интересное заявление что ребут не помогает
ребутить линукс - очень показательно ...

[koos]

видимо я мало знаю линукс, перечитав 2 раза вопросов у меня возникло больше чем ответов.
но самое интересное заявление что ребут не помогает
ребутить линукс - очень показательно ...

ну не линукс а фряху и ребутить я имел ввиду правило (ipnat -CF -f /etc/ipnat.rules) а не сервер

[Stranger03]

ну не линукс а фряху и ребутить я имел ввиду правило (ipnat -CF -f /etc/ipnat.rules) а не сервер

Э, дык если вы такой суперзнаток, то почему бы вам в логи фаервола не посмотреть? сделать дамп, проанализировать?
А вообще-то на фре прекрасный родной фаер ipfw + natd. Настраивается в два щелчка пальцами.

[Ziggy Stardust]

Если natd + ipfw не потянут по производительности, можете попробовать ng_nat (4). Только фрю надо посвежее взять. Оно часть нетграф-подсистемы - производительность аццкая, но по фичам, конечно, пока до natd не дотягивает.

[CZ]

А вообще-то на фре прекрасный родной фаер ipfw + natd. Настраивается в два щелчка пальцами.

IPF + IPNat +IPMon - тоже родные, более производительные и стабильные под нагрузкой, чем IPFW + NATD, единственное чего не хватает в IPF - DUMMY_NET. А NG-Nat я пробовал полгода назад - ему стабильности не хватает, при суммарном потоке примерно 300-350 мегабит система уходит в ребут с достаточно большой вероятностью (FreeBSD 6-чего-то-там).

[Andrey N. Oktyabrski]

А зачем и rdr, и map одновременно?

ng_nat всем хорош, кроме того что не умеет переваривать фрагментированные пакеты.

Никто не может помешать использовать ipfw+dummynet вместе с ipnat. Однако, я бы всё же предпочёл pf.

[Stranger03]

IPF + IPNat +IPMon - тоже родные, более производительные и стабильные под нагрузкой, чем IPFW + NATD, единственное чего не хватает в IPF - DUMMY_NET.

ну странно, я по старинке на ipfw всегда сидел, не помню чтобы там были какие-то проблемы с производительностью даже на старых системах 4.х. Хотя может уже отстал от жизни.

[Andrey N. Oktyabrski]

natd - user level application
ipnat - kernel module
Отсюда вытекают существенные отличия в производительности при больших packet rate. Отличий в производительности между ipfw и ipf практически нет (оба модули ядра).
Я часто пользовался ipfw (по привычке) совместно с ipnat (для скорости).

[Ziggy Stardust]

IPF + IPNat +IPMon - тоже родные, более производительные и стабильные под нагрузкой, чем IPFW + NATD, единственное чего не хватает в IPF - DUMMY_NET.

ну странно, я по старинке на ipfw всегда сидел, не помню чтобы там были какие-то проблемы с производительностью даже на старых системах 4.х. Хотя может уже отстал от жизни.

Так ты поди 100 Мбит каналы и не натил?

Если надо только 1...2 Мбит внешнего канала натить, то по большому счету любое решение будет нормально работать.

[Stranger03]

natd - user level application
ipnat - kernel module

Да я знаю отличия этих модулей. Другое дело что когда-то сто лет назад в свою бытность сисадмином каналы в Питере стоили столько, что за счастье было на фирму иметь канал в 2Мбит. У провайдера я не работал, потому вы можете быть правы по поводу производительности.

[Stranger03]

Так ты поди 100 Мбит каналы и не натил?

Э, у тебя в универе внешний канал 100Мбит? Жирно живете начальники, при такой стоимости трафика. Я тут если честно был очень неприятно удивлен, стоимость каналов ни в какое сравнение не идет с Питером. Эх, Питер, любимый город, .
Хотя кернел, юзерлевел, насколько я понимаю там отличия в производительности разве что в загрузке процессоров. При текущей мощи процессоров ИМХО это уже не так критично.

[Ziggy Stardust]

Так ты поди 100 Мбит каналы и не натил? :-)

Э, у тебя в универе внешний канал 100Мбит?

Нет конечно... :-) У нас к слову вообще НАТ не используется (какими то там правилами для федеральных организаций запрещено). Да и роутингом у нас не бздя занимается.

В fido7.ru.unix.bsd в свое время было подробное обсуждение различных вариантов НАТА под фрей.

Я тут если честно был очень неприятно удивлен, стоимость каналов ни в какое сравнение не идет с Питером. Эх, Питер, любимый город, :).

Дык, провинция... :-) До нас всегда все с опозданием в несколько лет докатывается. Хорошо хоть вообще сейчас есть варианты с белимитным подключением за более менее разумные деньги.

Хотя кернел, юзерлевел, насколько я понимаю там отличия в производительности разве что в загрузке процессоров. При текущей мощи процессоров ИМХО это уже не так критично.

Надо будет поэксперементировать, как со временем подосвобожусь, да сравнить...

[CZ]

Хотя кернел, юзерлевел, насколько я понимаю там отличия в производительности разве что в загрузке процессоров. При текущей мощи процессоров ИМХО это уже не так критично.

Достаточно критично - IPFW+NATD+polling загрузка 90-95%, а IPF+IPNAT+IPMON+poliing - загрузка всего 25-30%. Процессор  "CPU: Intel(R) Xeon(TM) CPU 2.80GHz (2793.01-MHz 686-class CPU)".

[vadislaus]

Уважаемый CZ, а сколько pps у Вас бегает? У меня ситуация, когда я думаю уже на pf переходить Либо, как кто то писал, нат выносить. При ~700 vpn сессиях проц (XEON) умирает.
А по поводу ng_* - тема очень хорошая, токомо у меня нет столько травы чтобы полностью вкурить это дело.