>>есть ли преимущество ng_nat по сравнению с ipfw nat ?
>
>1) Менее глючен конфигуратор
>2) Проще рестартовать при утечках памяти (раз в месяц по крону и
>живем без паник)
>3) В ipfw nat редиректы не имеют поля описания, ng_nat имеет, что
>позволяет дружить его с UPnP/NAT-PMP редиректорами.

Научите, пожалуйста, задавать description через ngctl.

На такое ругается:
msg nat1: redirectport { local_addr=x.x.x.x local_port=8865 alias_port=8865 proto=6 description="aaaa"}

И кто-нибудь знает ещё, как ограничить размер таблицы соединений NAT, чтобы ядерная память не кончалась,  а наиболее старые соединения выкидывались.  А также как увеличить память ядра под эту таблицу.
У меня тысячи одновременных коннектов. Через несколько дней начинает глючить.  sysctl показывает полную загрузку одного проца, а ping любого адреса выдает: cannot allocate memory. Причем память свободная есть.  Лечится ребутом машины.

Насчет преимуществ ipfw nat - можно задавать диапазон портов для перенаправления.
Или в ng_nat такое тоже есть, просто я не умею?  Перечислять все не подходит. Потому что допустим я хочу направить 1000-2000 на некий хост, а _все_остальные_ на другой (в SOHO роутерах это называется DMZ).