Re: Natd sehr langsam

From: Bernd Walter <ticso(at)cicely7.cicely.de>
Date: Fri, 15 Aug 2008 16:32:37 +0200



On Fri, Aug 15, 2008 at 03:25:30PM +0200, Michael Gusek wrote:


> Hi !


> 


> Ich betreibe einen FreeBSD-Server 7.0-STABLE unter amd64. Installiert 


> ist hier ein Jail (IP: 192.168.0.3, wird nicht im Netz geroutet). Nun 


> möchte ich ein Portforwarding von aussen auf die Jail machen. Das ganze 


> geht auch, nur leider ist es schnarch lahm. Ich hab ein solches Setup 


> auf verschiedenstes Rechnern. 6.3-STABLE i386, 6.3-STABLE amd64, 


> 7.0-STABLE i386, hier funktionierts sehr gut. Warum ist es dann unter 64 


> Bit 7.0-STABLE so lahm ? Das ganze hab ich auch auf einen anderen Server 


> 7.0-STABLE amd64 nachvollziehen können, an der Hardware liegt es also 


> nicht. Schalte ich den natd ab, gehts wieder normal schnell. Hier mal 


> die Konfiguration


> /etc/rc.conf


> # firewall


> firewall_enable="YES"


> firewall_type=OPEN


> natd_program="/sbin/natd"


> natd_enable="YES"


> natd_interface="em0"


> natd_flags="-f /etc/natd.conf"


> 


> /etc/natd.conf:


> redirect_port tcp 192.168.0.3:22 9021


> 


> Gibs noch andere Möglichkeiten, ohne natd ? Warum ist natd unter 


> 7.0-STABLE amd64 so inperformant ?



Nimm ipfw nat.


Funktioniert fast genauso, wie natd.


Du leitest die Packete per ipfw halt an eine nat Instanz und nicht


an einen divert.


Ist auch im Kern der gleiche Code, aber geht nicht dauernd zwischen


Userland und Kernel hin und her.


Warum natd auf amd64 langsammer ist kann ich nciht sagen, aber es ist


so oder so lahm.


Einzige Einschränkung von ipfw nat ist, dass du eine Stringberenzung


für die Konfiguration hast, womit sich vor allem die Anzahl der


redirects einschränkt, was man aber vermutlich irgendwo hochcompilieren


kann.



ipfw nat 123 config if em0 log reset same_ports \


redirect_port tcp 192.168.0.3:22 9021



ipfw add nat 123 all from any to any in via em0


ipfw add nat 123 all from any to any out via em0



-- 
B.Walter <bernd@bwct.de> http://www.bwct.de
Modbus/TCP Ethernet I/O Baugruppen, ARM basierte FreeBSD Rechner uvm.
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Fri 15 Aug 2008 - 16:32:48 CEST













search this site