[FUG-BR] PF ou IPF

Patrick Tracanelli eksffa em freebsdbrasil.com.br
Qua Abr 26 09:43:30 BRT 2006


Luiz_Otávio_Souza wrote:
> From: "Patrick Tracanelli" <eksffa em freebsdbrasil.com.br>
> 
>>>Já tem nat incorporado (mais simples de configurar), no ipfw precisamos
>>>do natd.
>>
>>Tai um ponto muito forte do PF. Ja tem in-kernel NAT (ipfw tem mas e
>>experimental), apesar do menor controle (o natd por ser um processo da
>>userland vc impoe limites a ele, podendo ate associa-lo a uma login
>>class dependendo de como execute-o, no kernel nao). Acho que a maior
>>vantagem disso e poder usar balanceamento de saida e nat pools, o que o
>>natd nao faz. Por outro lado natd tem suporte melhor a sockets do que o
>>Pf nat. Dai existe a necessidade de "chunchos" do tipo usar proxy na
>>user-land. Infelizmente nao tem proxy de userland pra toda aplicacao. Na
>>verdade nem sei se tem pra outras alem de ftp.
> 
> 
> Patrick,
> 
> quem falou que o natd nao faz balanceamento ? eu tenho (em algum lugar) um
> patch que faz isso.

Nao faz hehe. Se precisa de patch nao faz heuauha, mas diz ai nunca vi 
esse patch e parece bem util. Ele vem acompanhado de alguma thread 
dizendo porque nao foi incluido na base?

> voce poe um segundo ip pro natd usar como alias address, assim o natd eh 
> capaz
> de gerar trafego em dois (ou mais) IPs diferentes (e possivelmente) de redes
> diferentes.
> 
> O patch ainda permite o balanceamento de link desiguais uma vez que tem um
> sistema parecido com o prob do ipfw e mantem numa tabela interna os estados
> das conexões, mantendo o cliente saindo sempre pelo mesmo link.

Ele aceita subnet? Digamos "faca nat-pool de toda a rede X.Y.Z.K/26"? 
Otimo esse lance de "prob" hein, funciona pra entrada e saida? (pq 
balanceamento de entrada simples, round-robin (LSNAT) ja tem 
nativamente.. o lance e a saida! :-)

> O unico problema do natd eh o overhead da aplicacao userland (copia do 
> pacote
> do kernel para o userland e vice-versa), mas com as maquinas atuais isso não
> eh grande problema.

Eu tambem nao acho grande problema, especialmente com divert seletivo 
(jogando so as redes corretas pro natd), e acho vantagem estar na 
userland por poder roda-lo com uma login class exclusiva. Pros e 
contras, como quase tudo na vida ehhuauha.

> Vou procurar o patch aqui e ja envio pra lista

Show, espero anciosa e curiosamente (e espero a chance de testa-lo logo 
tambem hehe).

Valeu Luiz

[]s

-- 
Patrick Tracanelli

FreeBSD Brasil LTDA.
(31) 3281-9633 / 3281-3547
316601 em sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"

_______________________________________________
freebsd mailing list
freebsd em fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br



Mais detalhes sobre a lista de discussão freebsd