https://www.opennet.ru/openforum/vsluhforumID1/95904.html Решил обновить систему с нуля до FreeBSD 10.1, собственно поднял nat на основе ipnat, с поддержкой на уровне ядра. Конфиг простой до безобразия..<br><br>#SQUID<br>#rdr xl0 0/0 port 80 -&gt; 127.0.0.1 port 3128 tcp<br>#rdr ng0 0/0 port 80 -&gt; 127.0.0.1 port 3129 tcp<br>#<br>map em0 192.168.0.0/24 -&gt; xxx.xxx.xxx.xxx/32 proxy port ftp ftp/tcp<br>map em0 192.168.0.0/24 -&gt; xxx.xxx.xxx.xxx/32 portmap tcp/udp 20000:25000<br><br>#Redirect SSLPOP<br>rdr em0 from any to xxx.xxx.xxx.xxx/32 port = 995 -&gt; 192.168.0.1 port 995<br>rdr ste0 from any to xxx.xxx.xxx.xxx/32 port = 995 -&gt; 192.168.0.1 port 995<br>#Redirect VOIP<br>rdr em0 from any to xxx.xxx.xxx.xxx/32 port = 5060 -&gt; 192.168.0.114 port 5060<br>rdr ste0 from any to xxx.xxx.xxx.xxx/32 port = 5060 -&gt; 192.168.0.114 port 5060<br>#<br><br>ipf не включал, так как роль фаервола выполняет ipwf.<br><br>Проблема в том что при серфинге в инете с клиенских машин некоторые сайты очень долго открываются. Происходит это хаотично, на разных клиентах-машинах один и тот же сайт открывается по разному, может открыться сразу https://www.opennet.ru/openforum/vsluhforumID1/95904.html#5 Wed, 13 Jan 2021 15:43:18 GMT &gt;&gt; Похожая проблема, как то решил?<br>&gt; Перешел на IPFW nat... Там получается баг в 10.1 c ipnat.<br><br>ip_nat.h <br><br><br>#ifndef NAT_SIZE<br># ifdef LARGE_NAT<br>//# define&lt;---&gt;NAT_SIZE&lt;------&gt;2047<br># define&lt;-----&gt;NAT_SIZE&lt;------&gt;4095<br># else<br>//# define&lt;---&gt;NAT_SIZE&lt;------&gt;127<br># define&lt;-----&gt;NAT_SIZE&lt;------&gt;4095<br># endif<br>#endif<br>#ifndef RDR_SIZE<br># ifdef LARGE_NAT<br>//# define&lt;---&gt;RDR_SIZE&lt;------&gt;2047<br># define&lt;-----&gt;RDR_SIZE&lt;------&gt;4095<br># else<br>//# define&lt;---&gt;RDR_SIZE&lt;------&gt;127<br># define&lt;-----&gt;RDR_SIZE&lt;------&gt;4095<br># endif<br>#endif<br>#ifndef HOSTMAP_SIZE<br># ifdef LARGE_NAT<br>//# define&lt;---&gt;HOSTMAP_SIZE&lt;--&gt;8191<br># define&lt;-----&gt;HOSTMAP_SIZE&lt;--&gt;16383<br># else<br>//# define&lt;---&gt;HOSTMAP_SIZE&lt;--&gt;2047<br># define&lt;-----&gt;HOSTMAP_SIZE&lt;--&gt;16383<br># endif<br>#endif<br>#ifndef NAT_TABLE_MAX<br>/*<br> * This is newly introduced and for the sake of "least surprise", the numbers<br> * present aren't what we'd normally use for creating a proper hash table.<br> */<br># ifdef&gt;LARGE_NAT<br>//# define&lt;---&gt;NAT_TABLE_MAX&lt;-&gt;18000<br># define&lt;-----&gt;NAT_ https://www.opennet.ru/openforum/vsluhforumID1/95904.html#4 Mon, 18 May 2015 06:53:21 GMT &gt; Похожая проблема, как то решил?<br><br>Перешел на IPFW nat... Там получается баг в 10.1 c ipnat.<br><br> https://www.opennet.ru/openforum/vsluhforumID1/95904.html#3 Mon, 18 May 2015 06:35:28 GMT Похожая проблема, как то решил?<br> https://www.opennet.ru/openforum/vsluhforumID1/95904.html#2 Mon, 26 Jan 2015 10:55:08 GMT Проблемы с ipnat продолжаются. Все время растет значение inuse:<br>ipnat -s &#124; grep inuse<br>1787 inuse in<br>1993 inuse out<br>И это всего при работающих 7 машинах (без торрентов!) через этот шлюз, активных сессий:<br>ipnat -s &#124; grep active<br>142 active<br>Ночью число активных сессий вообще не более 10, но при этом значения inuse значительно не уменьшаются. Специально прождал 2 выходных и наблюдал, значения inuse так же сильно не уменьшились.<br>Параллельно использую шлюз на Freebsd 7.2 в котором старый ipnat, на нем работают более 30 машин... вот что на нем:<br>ipnat -s<br>mapped in 475029329 out 621161921<br>added 13356530 expired 13319116<br>no memory 0 bad nat 8405<br>inuse 2518<br>Ночью значение inuse на этом шлюзе падает меньше 100...<br>Настройки таймаутов ipfilter у обоих шлюзов одинаковые и имеют значения по умолчанию.<br>Если не перегружать ipnat на FreeBSD 10.1, то через неделю другую параметр inuse вырастает до заоблачного значения более 60000, и понятно что начинаются https://www.opennet.ru/openforum/vsluhforumID1/95904.html#1 Wed, 17 Dec 2014 17:41:39 GMT Похоже проблема решилась тем, что в rc.conf закоментировал tcp_extensions="NO". Угадал чисто от безысходности. :)<br>Еще заметил закономерность в проблеме... после старта системы или ipnat -CF -f долго грузились почти все сайты, и похоже только по http, только в первый раз... достаточно было 1 раз зайти на какой-то сайт, после этого именно с этим интернет-ресурсом лагов не было. C https вообще лагов не было.<br>