https://opennet.me/openforum/vsluhforumID3/50511.html Для работы этого примера необходимо иметь подгруженный ng_ipfw.ko<br><br>Убедиться в его наличии можно командой:<br><br> /sbin/kldstat&#124; grep ng_ipfw.ko<br><br>Если ng_ipfw.ko не загружен, то загружаем его:<br><br> /sbin/kldload /boot/kernel/ng_ipfw.ko<br><br>После того как ng_ipfw.ko подгружен, в выводе команды:<br><br> /usr/sbin/ngctl list<br><br>появится строчка вида:<br><br> Name: ipfw Type: ipfw ID: 00000023 Num hooks: 2<br><br>Без загруженного ng_ipfw.ko при попытке выполнить команды ngctl'а вы будете получать сообщение:<br><br> ngctl: send msg: No such file or directory<br><br>а при попытке добавить правило в ipfw получите:<br><br> ipfw: getsockopt(IP_FW_ADD): Invalid argument<br><br>Настройка ng_nat проста и сводится к скрипту:<br><br>Для примера будем NAT'ить подсеть 172.16.5.96/27 через IP-адрес 192.168.20.8 на внешнем интерфейсе fxp0.<br><br> #!/usr/bin/perl<br><br> $ip='192.168.20.8';<br> $iface='fxp0';<br> $net='172.16.5.96/27';<br> $cmd=sprintf("/usr/sbin/ngctl -f - &lt;&lt; -EOF<br> mkpeer ipfw: nat 60 out<br> name ipfw:60 nat<br> connect ipfw https://opennet.me/openforum/vsluhforumID3/50511.html#17 Mon, 15 Jun 2009 06:50:43 GMT Большое спасибо за информацию по ng_nat!<br><br>Команду вводил в терминале ngctl<br>Почему-то сейчас воспроизвести ошибку не получается. Возможно ошибался в формате в другом месте.<br><br>Насчет памяти ядра, libalias занимает совсем мало. Видимо, сбой не был связан с NAT.<br> libalias 1074 198K - 2535191 128<br><br>Хотя в данный момент нагрузка на NAT по кол-ву соединений невелика.<br><br><br> https://opennet.me/openforum/vsluhforumID3/50511.html#16 Fri, 12 Jun 2009 14:12:36 GMT &gt;&gt;&gt;На такое ругается: <br>&gt;&gt;&gt;msg nat1: redirectport { local_addr=x.x.x.x local_port=8865 alias_port=8865 proto=6 description="aaaa"} <br>&gt;&gt;<br>&gt;&gt;Вообще, надо показывать, как ругается. Подозреваю, что пробел перед закрывающей фигурной забыли. <br><br>Вообще, показывать надо не только как ругается, но и полную команду - что (и где) набрали.<br><br>&gt;Спасибо! Без пробела (как указано выше) заработало. <br>&gt;С пробелом перед закрывающей скобкой ругается: <br>&gt;ngctl: send msg: Invalid argument <br>&gt;<br>&gt;Однако, в следующем виде прекрасно добавляет (пробел после протокола): <br>&gt;msg nat1: redirectport { local_addr=x.x.x.x local_port=8865 alias_port=8865 proto=6 } <br>&gt;<br>&gt;А нужно без пробелов в начале и в конце в любом случае? <br><br>На самом деле, сам ngctl ест и с пробелами, и без них, вот я его сейчас интерактивно запустил и проверил. По коду у меня EINVAL возвращается, только если длина структуры меньше положенной, то есть парсинг был кривой. Поскольку вы не показываете, как именно передаете команды, мне остается только подозревать, что вы напа https://opennet.me/openforum/vsluhforumID3/50511.html#15 Thu, 11 Jun 2009 08:07:24 GMT &gt;&gt;Научите, пожалуйста, задавать description через ngctl. <br>&gt;&gt;<br>&gt;&gt;На такое ругается: <br>&gt;&gt;msg nat1: redirectport { local_addr=x.x.x.x local_port=8865 alias_port=8865 proto=6 description="aaaa"} <br>&gt;<br>&gt;Вообще, надо показывать, как ругается. Подозреваю, что пробел перед закрывающей фигурной забыли. <br><br>Спасибо! Без пробела (как указано выше) заработало.<br>С пробелом перед закрывающей скобкой ругается:<br>ngctl: send msg: Invalid argument<br><br>Однако, в следующем виде прекрасно добавляет (пробел после протокола):<br>msg nat1: redirectport { local_addr=x.x.x.x local_port=8865 alias_port=8865 proto=6 }<br><br>А нужно без пробелов в начале и в конце в любом случае? <br><br>&gt;[оверквотинг удален]<br>&gt;&gt;И кто-нибудь знает ещё, как ограничить размер таблицы соединений NAT, чтобы ядерная <br>&gt;&gt;память не кончалась, а наиболее старые соединения выкидывались. А <br>&gt;&gt;также как увеличить память ядра под эту таблицу. <br>&gt;&gt;У меня тысячи одновременных коннектов. Через несколько дней начинает глючить. sysctl <br>&gt;&gt;показывает полную загрузку одного про https://opennet.me/openforum/vsluhforumID3/50511.html#14 Wed, 10 Jun 2009 13:11:16 GMT &gt;Научите, пожалуйста, задавать description через ngctl. <br>&gt;<br>&gt;На такое ругается: <br>&gt;msg nat1: redirectport { local_addr=x.x.x.x local_port=8865 alias_port=8865 proto=6 description="aaaa"} <br><br>Вообще, надо показывать, как ругается. Подозреваю, что пробел перед закрывающей фигурной забыли.<br><br>&gt;И кто-нибудь знает ещё, как ограничить размер таблицы соединений NAT, чтобы ядерная <br>&gt;память не кончалась, а наиболее старые соединения выкидывались. А <br>&gt;также как увеличить память ядра под эту таблицу. <br>&gt;У меня тысячи одновременных коннектов. Через несколько дней начинает глючить. sysctl <br>&gt;показывает полную загрузку одного проца, а ping любого адреса выдает: cannot <br>&gt;allocate memory. Причем память свободная есть. <br><br>Это памяти ядра ему не хватает. Да, есть такая проблема, но, к сожалению, полного решения для неё нет. Во-первых, можно увеличить в /boot/loader.conf значение vm.kmem_size, во-вторых, прошлым летом в 7-ку был патч, который более агрессивно удаляет старые соединения, чтобы меньше текло: http://www.free https://opennet.me/openforum/vsluhforumID3/50511.html#13 Wed, 10 Jun 2009 12:46:27 GMT &gt;ipfw nat работает без утечек и стабильно, рестартовать тоже не сложно <br>&gt;<br><br>Аналогичный вопрос к знатокам ipfw nat: Как ограничить размер таблицы соединений, чтобы она не занимала всю доступную память со временем?<br> https://opennet.me/openforum/vsluhforumID3/50511.html#12 Wed, 10 Jun 2009 12:45:27 GMT &gt;&gt;есть ли преимущество ng_nat по сравнению с ipfw nat ? <br>&gt;<br>&gt;1) Менее глючен конфигуратор <br>&gt;2) Проще рестартовать при утечках памяти (раз в месяц по крону и <br>&gt;живем без паник) <br>&gt;3) В ipfw nat редиректы не имеют поля описания, ng_nat имеет, что <br>&gt;позволяет дружить его с UPnP/NAT-PMP редиректорами. <br><br>Научите, пожалуйста, задавать description через ngctl.<br><br>На такое ругается:<br>msg nat1: redirectport { local_addr=x.x.x.x local_port=8865 alias_port=8865 proto=6 description="aaaa"}<br><br>И кто-нибудь знает ещё, как ограничить размер таблицы соединений NAT, чтобы ядерная память не кончалась, а наиболее старые соединения выкидывались. А также как увеличить память ядра под эту таблицу.<br>У меня тысячи одновременных коннектов. Через несколько дней начинает глючить. sysctl показывает полную загрузку одного проца, а ping любого адреса выдает: cannot allocate memory. Причем память свободная есть. Лечится ребутом машины.<br><br>Насчет преимуществ ipfw nat - можно задавать диапазон портов для перенаправления.<br>Или в ng_n https://opennet.me/openforum/vsluhforumID3/50511.html#11 Fri, 13 Mar 2009 19:46:02 GMT <br>достаточно его просто переконфигурировать<br>но всеже лучше вначале его удалить, т.е. последовательность такая<br> ipfw nat 1 delete<br> ipfw nat 1 config if fxp0 log same_ports<br><br><br> https://opennet.me/openforum/vsluhforumID3/50511.html#10 Fri, 13 Mar 2009 19:26:01 GMT &gt;ipfw nat работает без утечек и стабильно, рестартовать тоже не сложно<br><br>Как рестартовать ipfw nat ?<br> https://opennet.me/openforum/vsluhforumID3/50511.html#9 Fri, 13 Mar 2009 10:56:13 GMT &gt;2) Проще рестартовать при утечках памяти (раз в месяц по крону и <br>&gt;живем без паник) <br>&gt;<br>&gt;вот это FreeBSD рулез... <br><br>Ну меня жаба душит еще 256 метров оперативы в сервер втыкать. Так бы хватало, ну если кто специально флудить не начнет, конечно.<br>