Como eu noto mais frequentemente com o FreeBSD, há sempre muitas maneiras que levam a um objetivo específico.
Depois de descobrir qual firewall eu queria (eu escolho ipfw) eu agora estou completamente inseguro sobre qual maneira de fazer Network Address Translation (NAT).
Como descobri agora, existem duas maneiras de usar o NAT, eu poderia usar o espaço do kernel ipfw nat ou eu poderia usar o espaço do usuário natd .
O único deles descrito no manual do FreeBSD é natd .
O que eu gostaria de saber é quais são as principais diferenças entre eles? Qual deles é mais popular.
Claro que também gostaria de poder pescar, então como posso descobrir essas diferenças nos manuais / manuais?
ipfw nat é geralmente preferível, pois é executado no espaço do kernel e consome menos CPU do que desvio + natd . Mas natd ainda pode ser útil se você precisar adicionar dinamicamente regras para conexões FTP (procure a opção -punch_fw em natd(8) ). A página do manual está bastante desatualizada.
Antes de mais nada, você não está sozinho (tópico da lista de discussão sobre o assunto) .
A partir daí, eu concluí que natd aparentemente era a única escolha até o FreeBSD 7.xe que a página do manual que você referenciou provavelmente precisa de revisão ( veja este post ), e o NAT no kernel é possivelmente mais rápido.
Além disso, ambas as soluções ainda parecem boas (ambas estão presentes em uma instalação padrão do FreeBSD, afinal de contas) e os argumentos usuais do kernelspace / userspace se aplicam ... não a resposta mais satisfatória, desculpe.
Eu nem sabia que existia um kernel nat (natd replacement) até hoje à noite. Meu natd está usando quantidades estúpidas de ciclos de CPU, mesmo quando quase não há tráfego. Parece que você precisa controlar cuidadosamente o tipo de pacotes que passam por natd para evitar essa alta cpu. E isso depende da natureza do seu ambiente quanto às regras do ipfw para evitar que o tráfego indesejado seja desviado para o natd.
Não consigo encontrar um conjunto de regras simples que não cause problemas para mim. Eu suspeito que é porque eu tenho cadeias rodando em IPs de LAN, e isso gera tráfego através do natd. Então, agora estou fora para aprender ipfw + kernel nat.
O manual realmente só precisa mencionar isso, até mesmo um one-liner seria o suficiente para começar.