photon Опубликовано 16 октября, 2009 (изменено) · Жалоба Проблемы с исходящим трафиком могут быть из-за pf и NAT. Наверное стоит вместо него завести ipfw kernel NAT и написать правила так чтобы NAT не мешал шейпингу. Вообще, NAT, BGP и прочие функции border gateway лучше вынести на отдельную машину, а шейпер сделать мостом. С другой стороны, в будущем надо бы вообще отказаться от NAT и взять статус LIR. net.inet.ip.dummynet.max_chain_len = 10240 много, хватит и 16. Это число очередей, которые соответствуют одной записи в хэше. Размер хэша у вас 65535, т.е. динамических пайпов можно насоздавать 16*65535. А другие параметры net.inet.ip.dummynet чему равны? Изменено 16 октября, 2009 пользователем photon Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UTP Опубликовано 16 октября, 2009 · Жалоба Будем выносить тогда нат на отдельную машину. Что лучьше использовать pf , ipfw kernel NAT или ng_nat? net.inet.ip.dummynet.debug: 0 net.inet.ip.dummynet.pipe_byte_limit: 1048576 net.inet.ip.dummynet.pipe_slot_limit: 100 net.inet.ip.dummynet.io_pkt_drop: 70516821 net.inet.ip.dummynet.io_pkt_fast: 4240269156 net.inet.ip.dummynet.io_pkt: 12077517516 net.inet.ip.dummynet.io_fast: 1 net.inet.ip.dummynet.tick_lost: 0 net.inet.ip.dummynet.tick_diff: 6596405 net.inet.ip.dummynet.tick_adjustment: 8023455 net.inet.ip.dummynet.tick_delta_sum: -864 net.inet.ip.dummynet.tick_delta: -5 net.inet.ip.dummynet.red_max_pkt_size: 1500 net.inet.ip.dummynet.red_avg_pkt_size: 512 net.inet.ip.dummynet.red_lookup_depth: 256 net.inet.ip.dummynet.max_chain_len: 20000 net.inet.ip.dummynet.expire: 0 net.inet.ip.dummynet.search_steps: 12076019364 net.inet.ip.dummynet.searches: 12075825055 net.inet.ip.dummynet.extract_heap: 0 net.inet.ip.dummynet.ready_heap: 256 net.inet.ip.dummynet.hash_size: 65535 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
XeonVs Опубликовано 16 октября, 2009 (изменено) · Жалоба Если натить хочется в подсеть то только(не помню об ipnat в этом вопросе) pf-nat. если хочется эффективно исспользовать SMP то ng_nat. а вообще, у ядрёного libalias(ipfw nat, ng_nat) еще имеются нерешенные проблемы, не все возможности natd поддерживаются. Изменено 16 октября, 2009 пользователем XeonVs Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
photon Опубликовано 16 октября, 2009 (изменено) · Жалоба IPnat даже не рассматривайте. Мне помнится у него были проблемы с утечками памяти. Утечки в ядре заканчиваются зависанием наглухо всей системы. Изменено 16 октября, 2009 пользователем photon Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dyr Опубликовано 26 октября, 2009 · Жалоба pf-nat, однозначно. На порядок более удобна диагностика и мониторинг трансляций, возможность транслировать сеть в сеть, динамическая привязка 1:1 (sticky-address source-hash) и так далее. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...