[FUGSPBR] NAT consumindo processamento

Patrick Tracanelli eksffa em freebsdbrasil.com.br
Seg Mar 8 08:41:03 BRT 2004 

Vitor Renato Alves de Brito wrote:
[cut]

> Resolvi o problema aqui com isto:
> 
> ipfw add 1000 divert 8668 all from 10.0.0.0/8 to not 10.0.0.0/8
> ipfw add 1000 divert 8668 all from not 10.0.0.0/8 to ${ip_natd}
[cut]
> 
> ao inves disto:
> 
> ipfw add 1000 divert 8668 all from any to any via ${if_externa}
> 

[cut]

> Alguém sabe a lógica disto. Eu não entendi, mas os IPs válidos da minha
> rede interna pararam de passar pelo natd e o processamento voltou ao
> normal. Vejam o top:
> 
>   411 root       4    0  1620K  1164K sbwait   0:44  0.00%  0.00% natd
> 
> Até agora os clientes estao funcionando normalmente..

Vitor, bom dia.

Se a sobrecarga do seu NATD era devido a ele estar traduzindo endereços 
reais, poderia ter resolvido com a opção "-u" do natd(8).

A lógica do NATD você pode acompanhar no histórico da lista, já foi 
várias vezes discutido aqui :) Uma dica e bom inicio é essa thread:

http://www4.fugspbr.org/lista/html/FUG-BR/2003-11/msg00033.html

Outra seria acompanhar com cuidado e entender a solução de 
policy-routing apresentada pelo Diego Linke (tem em free.bsd.com.br e em 
www.gamk.com.br :)

Se você está realmente tendo que fazer NAT para as 3 redes 
desregistradas inteiras, como parece pelas suas regras, a opção -u do 
natd vem mais a acalhar do que ficar fazendo vários diverts :) Vários 
diverts se justifica em policy-routing ou para fazer NAT baseado por 
host por exemplo (digamos, apenas cliente X e Y saem nateados, os outros 
e quizerem saem exclusivamente para WEB via Squid.. só um exemplo).

E outra, usando ${id_natd} você perde a dinâmica da verificação do IP na 
interface (dynamic yes do natd), e enquando o sonho do Linke de existir 
uma keyword no IPFW à lá ip_fxp0 da vida não for real, a desvantagem é 
essa :/

-- 
Atenciosamente,

Patrick Tracanelli

FreeBSD Brasil LTDA.
The FreeBSD pt_BR Documentation Project
http://www.freebsdbrasil.com.br
patrick @ freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"

_______________________________________________________________
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/

Mais detalhes sobre a lista de discussão freebsd