TRANSLATION RULES: nat on ! rl1 inet from $int_net to any -> $ext_ip FILTER RULES: INFO: Status: Disabled for 4 days 14:27:56 Debug: Urgent Hostid: 0x70475390 State Table Total Rate current entries 0 searches 69997618 176.0/s inserts 250109 0.6/s removals 250109 0.6/s Counters match 49339016 124.1/s bad-offset 0 0.0/s fragment 0 0.0/s short 134 0.0/s normalize 0 0.0/s memory 0 0.0/s TIMEOUTS: tcp.first 120s tcp.opening 30s tcp.established 86400s tcp.closing 900s tcp.finwait 45s tcp.closed 90s udp.first 60s udp.single 30s udp.multiple 60s icmp.first 20s icmp.error 10s other.first 60s other.single 30s other.multiple 60s frag 30s interval 10s adaptive.start 0 states adaptive.end 0 states src.track 0s LIMITS: states hard limit 10000 src-nodes hard limit 0 frags hard limit 5000 OS FINGERPRINTS: 293 fingerprints loaded On Wed, Sep 21, 2005 at 22:45 +0300, Paul Arakelyan wrote:
Вместо ipfw's nata: ipfw add 10000 divert 8668 ip from ${intnet}:${mask} to any ipfw add divert 8668 ip from any to ${extip} /sbin/natd -a ${extip} запустил pf's: nat on ! $int_if from $int_net to any -> $ext_ip а что по этому поводу думает
On Sun, Sep 18, 2005 at 06:36:57PM +0300, Maxim Tuliuk wrote: pfctl -s a ?
На машине, стоящей за этим натом (5.4-STABLE) прекратил работать nfs/amd
Этто чтоо, вот у меня с последними (где-то с начала сентября) ядрами тазик клинит на детекте usb намертво :(, если usbd запускается, а поддержки usb в ядре нету и модуль не загружен - вешается сразу после загрузки модуля :(. В USB порту ничего нету.
При возврате назад на natd - все заработало Где крутить? Может поможет: set timeout { interval 5, frag 20 } set timeout { tcp.first 120, tcp.opening 30, tcp.established 600 } set timeout { tcp.closing 60, tcp.finwait 45, tcp.closed 90 } #set timeout { tcp.first 20, tcp.opening 20, tcp.established 900 } #set timeout { tcp.closing 10, tcp.finwait 10, tcp.closed 5 } #set timeout { adaptive.start 6000, adaptive.end 60000 } set limit { states 120000, frags 4000 } set loginterface none set optimization conservative scrub in all (ваще-то это чтоб занатить ~3K tcp connections)
natd - очень сложно-навороченная вещь, заточенная под дофига приложений. pf её может только в совсем простых случаях заменить и стоит с ним возиться там, где очень критично пакеты из userland в ядро и обратно не гонять, то есть CPU мало, а пакетов много.
-- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
-- Maxim Tuliuk WWW: http://primats.org.ua/~mt/ ICQ: 21134222 The bike is absolute freedom of moving =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message