© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Bernd Walter schrieb:
> On Fri, Aug 15, 2008 at 03:25:30PM +0200, Michael Gusek wrote:
>
>> Hi !
>>
>> Ich betreibe einen FreeBSD-Server 7.0-STABLE unter amd64. Installiert
>> ist hier ein Jail (IP: 192.168.0.3, wird nicht im Netz geroutet). Nun
>> möchte ich ein Portforwarding von aussen auf die Jail machen. Das ganze
>> geht auch, nur leider ist es schnarch lahm. Ich hab ein solches Setup
>> auf verschiedenstes Rechnern. 6.3-STABLE i386, 6.3-STABLE amd64,
>> 7.0-STABLE i386, hier funktionierts sehr gut. Warum ist es dann unter 64
>> Bit 7.0-STABLE so lahm ? Das ganze hab ich auch auf einen anderen Server
>> 7.0-STABLE amd64 nachvollziehen können, an der Hardware liegt es also
>> nicht. Schalte ich den natd ab, gehts wieder normal schnell. Hier mal
>> die Konfiguration
>> /etc/rc.conf
>> # firewall
>> firewall_enable="YES"
>> firewall_type=OPEN
>> natd_program="/sbin/natd"
>> natd_enable="YES"
>> natd_interface="em0"
>> natd_flags="-f /etc/natd.conf"
>>
>> /etc/natd.conf:
>> redirect_port tcp 192.168.0.3:22 9021
>>
>> Gibs noch andere Möglichkeiten, ohne natd ? Warum ist natd unter
>> 7.0-STABLE amd64 so inperformant ?
>>
>
> Nimm ipfw nat.
> Funktioniert fast genauso, wie natd.
> Du leitest die Packete per ipfw halt an eine nat Instanz und nicht
> an einen divert.
> Ist auch im Kern der gleiche Code, aber geht nicht dauernd zwischen
> Userland und Kernel hin und her.
> Warum natd auf amd64 langsammer ist kann ich nciht sagen, aber es ist
> so oder so lahm.
> Einzige Einschränkung von ipfw nat ist, dass du eine Stringberenzung
> für die Konfiguration hast, womit sich vor allem die Anzahl der
> redirects einschränkt, was man aber vermutlich irgendwo hochcompilieren
> kann.
>
> ipfw nat 123 config if em0 log reset same_ports \
> redirect_port tcp 192.168.0.3:22 9021
>
> ipfw add nat 123 all from any to any in via em0
> ipfw add nat 123 all from any to any out via em0
>
>
Ok, das probier ich mal. Wie sieht das ganze eigentlich mit pf aus ? Wie
ist das dort gelöst ?
Micha
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Fri 15 Aug 2008 - 21:20:23 CEST