Re: [KFUG] natd, ipfw .

News, Internal, Projects, Home
Software, Support, Documentation

Re: [KFUG] natd, ipfw .

To: 이기명 <lovablefish@xxxxxxxxx>
Subject: Re: [KFUG] natd, ipfw 질문입니다.
From: Pyun YongHyeon <pyunyh@xxxxxxxxx>
Date: Tue, 15 Nov 2005 15:01:14 +0900
Cc: questions@xxxxxxxxxxxxxx
Content-disposition: inline
Content-transfer-encoding: 8bit
Content-type: text/plain; charset=euc-kr
Delivered-to: mhonarc-archiver@kr.freebsd.org
Delivered-to: questions@kr.FreeBSD.org
Domainkey-signature: a=rsa-sha1; q=dns; c=nofws; s=beta; d=gmail.com; h=received:date:from:to:cc:subject:message-id:reply-to:references:mime-version:content-type:content-disposition:content-transfer-encoding:in-reply-to:user-agent; b=uoxy+ubo3Ph9JkJ/UIuR6cl/CF5Ru1aquAjWh1bF93GGSombSHtdHFBenkUDkTebtff+0+3pftwBafmLy1zRqiLeONCm0BBeA+ojBd4wZ8Nw8gEFhj+8adCcfAeBidITqowxdw4ODyNg2NxO/Aj+ghA4oxmrDyZQqy+LU1i+Uzs=
In-reply-to: <2ad5ab60511140724h6dc03850i@mail.gmail.com>
List-help: <mailto:questions-request@kr.FreeBSD.org?subject=help>
List-id: 일반적인 질문과 답변 <questions.kr.FreeBSD.org>
List-post: <mailto:questions@kr.FreeBSD.org>
List-subscribe: <http://www.kr.FreeBSD.org/mailman/listinfo/questions>, <mailto:questions-request@kr.FreeBSD.org?subject=subscribe>
List-unsubscribe: <http://www.kr.FreeBSD.org/mailman/listinfo/questions>, <mailto:questions-request@kr.FreeBSD.org?subject=unsubscribe>
References: <2ad5ab60511140724h6dc03850i@mail.gmail.com>
Reply-to: pyunyh@xxxxxxxxx
Sender: questions-bounces@xxxxxxxxxxxxxx
User-agent: Mutt/1.4.2.1i

On Tue, Nov 15, 2005 at 12:24:10AM +0900, 이기명 wrote:
 > 현재 VDSL 회선을 공유하여 두 컴퓨터가 인터넷을 하고 있습니다.
 > 
 > 대략적인 구성은
 > 
 > VDSL---------- FreeBSD(NAT) ------------  windows
 > 
 > 이렇습니다.
 > 
 > 
 > 그런데 요즘 FreeBSD 서버의 6112번 포트 연결이 많습니다.
 > 
 > root@xxxxxxxxxxxxxxxxxxxx [/etc] # netstat -n | grep 6112 | grep ESTA | wc
 >     1326    7956  104754
 > 
 > 지금은 이렇게 1326개 이지만 많을때는 5400까지 올라갑니다.
 > 
 > 
 > 그런데, 이 연결수가 많아지면 많아질수록 CPU 점유율은 폭등해 버립니다.
 > 
 > 현재 1300개의 연결에선 3%정도 먹고, 2000에서는 5%, 3000에서는 12% 4000에서는 20% 5000에서는
 > 50% 5400에서는 70% 까지 먹습니다.
 > 

NAT성능문제라면 4.x에서는 ipfilter를 사용하세요.

 > 이렇게 황당하게 수치가 늘어나 버리니 저로서는 당황할 수밖에 없었습니다.
 > 
 > 
 > 그래서 머릿속으로 한가지 방법을 생각해 냈는데요,
 > 
 > NAT 가 ipfw 에서 넘어오는 것에 한해 처리한다고 얼핏 봤습니다.
 > 
 > 그럼, ipfw 에서 특정 포트(6112) 의 패킷은 NAT 를 거치지 않고 서버에서만 사용할 수 있게 그냥 통과시키도록 할 수 없을까요?
 > 
 > 그렇게 된다면 NAT 의 부하가 줄어서 효율이 상당해 질 것으로 생각하거든요..
 > 
 > 방법이 없다면 어쩔수 없지만, 있다면 한번 해 보고 싶습니다.
 > 
 > 

되기는 하겠지만 divert의 특성상 filtering이 아주 복잡해집니다.
특별한 이유가 없다면 4.x에선 ipfilter를 사용하는게 정신건강에
좋을것 같습니다.

 > 
 > 제가 쓰는 프비의 버젼은 4.11 pl13 이구요,
 > 
 > 커널 컴파일 옵션은
 >    options IPDIVERT
 >    options IPFIREWALL
 > 두 개 줬습니다.
 > 
 > rc.conf 에서 옵션은
 > firewall_enable="YES"
 > firewall_type="open"
 > natd_enable="YES"
 > natd_interface="rl1"
 > 
 > 줬습니다.
 > 
 > 사용중인 컴퓨터의 사양은 셀러론 1기가, 384 램이며
 > 
 > 리얼택 랜카드 두개 쓰고 있습니다.

8139계열이라면 다른 카드로 변경하는게 좋겠습니다. 고가의 카드가 아니더라도
RealTek의 8169계열은 가격도 저렴하고 성능도 만족할 만한 편입니다.
-- 
Regards,
Pyun YongHyeon
_______________________________________________
한국 FreeBSD 사용자 그룹(KFUG) questions 메일링 리스트
questions at kr.FreeBSD.org
http://www.kr.FreeBSD.org/mailman/listinfo/questions

참조:
- [KFUG] natd, ipfw 질문입니다.
  - From: 이기명

이전 글: Re: [KFUG] natd, ipfw 질문입니다.
다음 글: [KFUG] 원격에서 완전히 초기화시키려면 어떻게 해야할까요?
이전 댓글: Re: [KFUG] natd, ipfw 질문입니다.
다음 댓글: [KFUG] 원격에서 완전히 초기화시키려면 어떻게 해야할까요?

[ 날짜순 색인 ] [ 댓글순 색인 ] [ 최상위 색인] [ 검색]