[networks]

Всем привет. Есть проблема - ipnat не работает с net.inet.ip.fastforwarding=1.

 

Попробовал применить патч из http://www.freebsd.org/cgi/query-pr.cgi?pr=kern/72210, не помогло :(

 

Может, кто-нибудь уже заборол такое? Подскажите, пожалуйста.

[XeonVs]

Всем привет. Есть проблема - ipnat не работает с net.inet.ip.fastforwarding=1.

 

Попробовал применить патч из http://www.freebsd.org/cgi/query-pr.cgi?pr=kern/72210, не помогло :(

 

Может, кто-нибудь уже заборол такое? Подскажите, пожалуйста.

Лично я отказался от ipnat в пользу pf который дружит с фастфорвардингом.

[networks]

Это конечно, вариант, но интересно, может все-таки у кого-то получилось их сдружить :) По идее то, патч должен решать проблему, но почему-то не решает - может я чего-то забыл сделать?

[Dyr]

А почему вам именно ipnat так "упёрся"?

[networks]

Блин, ну у меня в данный момент на нем всё построено. Работает. Если нет нужды с него переходить на что-то другое, и можно обойтись патчем - зачем ломать то, что работает? :)

 

Ну ладно, я так понял, что победивших этот баг нету :( А что работает с fastforwarding? pf, ipfw nat, ng_nat - из этого списка всё работает? Просто буду тогда пробовать что-то из этого.

Изменено 23 ноября, 2009 пользователем networks

[XeonVs]

Блин, ну у меня в данный момент на нем всё построено. Работает. Если нет нужды с него переходить на что-то другое, и можно обойтись патчем - зачем ломать то, что работает? :)

 

Ну ладно, я так понял, что победивших этот баг нету :( А что работает с fastforwarding? pf, ipfw nat, ng_nat - из этого списка всё работает? Просто буду тогда пробовать что-то из этого.

все кроме ipnat :)

pf по синтаксису ближе к ipnat

[networks]

А по производительности они как соотносятся между собой? На что перспективнее ориентироваться? В данный момент в ЧНН порядка 35К соответствий в NAT-таблице, ну и кол-во растет постепенно.

[XeonVs]

А по производительности они как соотносятся между собой? На что перспективнее ориентироваться? В данный момент в ЧНН порядка 35К соответствий в NAT-таблице, ну и кол-во растет постепенно.

ng_nat можно запустить несколько нод и раскидать на них нагрузку.

у ipfw nat(ng_nat) были проблемы на этапе 7.0-7.2R, не отслеживаю сейчас по нему ситуацию.

на текущий момент два нат-бокса(7.2S, 2G ram, 8 и 4 ядер) с таким числом стейтов:

pfctl -ss| wc -l
No ALTQ support in kernel
ALTQ related functions disabled
  309129

pfctl -ss| wc -l
No ALTQ support in kernel
ALTQ related functions disabled
  216545

Изменено 23 ноября, 2009 пользователем XeonVs

[networks]

Пасиб, попробую pf тогда.

[Dyr]

pf, однозначно.

ng_nat неудобен в настройке(не всё умеет) и мониторинге.

 

на текущий момент два нат-бокса(7.2S, 2G ram, 8 и 4 ядер) с таким числом стейтов:

Причём производительность не страдает и на меньших конфигурациях - у меня сейчас, не в ЧНН, на обычном Core2Duo и 2Gb количество сессий порядка 50 тысяч и LA 0,3