https://opennet.ru/openforum/vsluhforumID1/94454.html Имеем:<br>Железо: HP ProLiant DL360 G7<br><br>$ uname -a<br>FreeBSD serv.pc.local 9.1-RELEASE FreeBSD 9.1-RELEASE #0: Mon Mar 11 16:16:29 EET 2013 root@serv.pc.local:/usr/obj/usr/src/sys/kern_2013_03_11 amd64<br><br>Конфигурация ядра (отличия от GENERIC):<br><br>options IPFIREWALL<br>options IPFIREWALL_VERBOSE<br>options IPFIREWALL_VERBOSE_LIMIT=10000<br>options IPFIREWALL_NAT<br>options LIBALIAS<br>options ROUTETABLES=2<br>options DUMMYNET<br>options HZ="1000"<br><br>options SC_DISABLE_REBOOT<br>options QUOTA<br>options SMBFS<br>options NETSMB<br><br>options LIBMCHAIN<br>options LIBICONV<br><br>Настраиваю сервер для работы:<br>bce0 - внешняя сеть, к провайдеру<br>bce1 - локалка<br><br>Пока не настраиваю NAT - все идет нормально.<br>При попытке включить ядерный ipfw nat в /etc/rc.conf<br><br>natd_enable="YES"<br>natd_interface="bce0"<br>natd_flags=""<br><br>связь с сервером по ssh рвется и вообще сетевая работа через bge0 прекращается.<br>На консоли вижу следующее:<br><br>368 Mar 12 12:51:58 serv kernel: bce0: /usr/src/sys/dev/bce/if_bce.c(7925): Watchdog timeout occurred, resetti https://opennet.ru/openforum/vsluhforumID1/94454.html#12 Thu, 02 May 2013 12:27:34 GMT &gt;&gt; чисто теоретически попробуйте в rc.conf задать и в ребут и проверить будет <br>&gt;&gt; виснуть или нет.<br>&gt;&gt; ifconfig_bce0="inet 192.168.1.107 netmask 255.255.255.0 -rxcsum -txcsum -tso" <br>&gt; Я не знаю на сколько это все стабильно, но пока повесить сервер <br>&gt; через ssh не удалось! )) <br>&gt; Спасибо большое! Сейчас буду изучать эти волшебные ключики!<br>&gt; Буду возвращаться на AMD64 инсталляцию.<br>&gt; Если возникнут проблемы обязательно отпишусь.<br>&gt; Спасибо!<br><br>Ядерный nat, связан с libalias (в ядре вы указали options LIBALIAS) в man к ipfw рекомендуют выключать tso на интерфейсе где будет nat, эксперементально, выяснили народ, что всем по разному помогает один из трех либо все три параметра -rxcsum -txcsum -tso<br><br>Due to the architecture of libalias(3), ipfw nat is not compatible with<br>the TCP segmentation offloading (TSO). Thus, to reliably nat your net-<br>work traffic, please disable TSO on your NICs using ifconfig(8).<br> https://opennet.ru/openforum/vsluhforumID1/94454.html#11 Wed, 13 Mar 2013 15:21:11 GMT &gt;&gt; чисто теоретически попробуйте в rc.conf задать и в ребут и проверить будет <br>&gt;&gt; виснуть или нет.<br>&gt;&gt; ifconfig_bce0="inet 192.168.1.107 netmask 255.255.255.0 -rxcsum -txcsum -tso" <br>&gt; Я не знаю на сколько это все стабильно, но пока повесить сервер <br>&gt; через ssh не удалось! )) <br>&gt; Спасибо большое! Сейчас буду изучать эти волшебные ключики!<br>&gt; Буду возвращаться на AMD64 инсталляцию.<br>&gt; Если возникнут проблемы обязательно отпишусь.<br>&gt; Спасибо!<br><br>Незачто) Такое же было на некоторых сетевых марвелл, эти параметры отвечают за расчет контрольных сумм для TX RX очередей и сегментацию и сборку тсп пакетов сетевой, или самим процессором машины, на интеловских сетевых такое работает корректно, на остальных как повезет, в вашем случае не работает, возможно дрова допилят со временем и можно будет вернуть эти параметры. Еще при включенных этих параметрах tcpdump может показывать incorrect checksum для тсп пакетов, т.к. рассчет сумм будет идти после тспдампа уже на выходе из сетевой, и эти поля будут пустыми. Както так )) https://opennet.ru/openforum/vsluhforumID1/94454.html#10 Wed, 13 Mar 2013 15:03:13 GMT &gt; чисто теоретически попробуйте в rc.conf задать и в ребут и проверить будет <br>&gt; виснуть или нет.<br>&gt; ifconfig_bce0="inet 192.168.1.107 netmask 255.255.255.0 -rxcsum -txcsum -tso" <br><br>Я не знаю на сколько это все стабильно, но пока повесить сервер через ssh не удалось! ))<br><br>Спасибо большое! Сейчас буду изучать эти волшебные ключики!<br>Буду возвращаться на AMD64 инсталляцию. <br>Если возникнут проблемы обязательно отпишусь.<br><br>Спасибо!<br><br> https://opennet.ru/openforum/vsluhforumID1/94454.html#9 Wed, 13 Mar 2013 14:50:22 GMT чисто теоретически попробуйте в rc.conf задать и в ребут и проверить будет виснуть или нет.<br>ifconfig_bce0="inet 192.168.1.107 netmask 255.255.255.0 -rxcsum -txcsum -tso"<br> https://opennet.ru/openforum/vsluhforumID1/94454.html#8 Wed, 13 Mar 2013 14:45:06 GMT &gt; то есть машина вешается полностью? А что при этом пишет на консоли, <br>&gt; тоже, что и в первом посте Вы писали? И что пишет <br>&gt; в messages.log и скиньте еще пожалуйста <br>&gt; ipfw nat 1 show config <br>&gt; ifconfig <br><br># ipfw show<br><br>00050 1525 161252 nat 123 ip4 from any to any via bce0<br>00100 12 1656 allow ip from any to any via lo0<br>00200 0 0 deny ip from any to 127.0.0.0/8<br>00300 0 0 deny ip from 127.0.0.0/8 to any<br>65000 0 0 allow ip from any to any<br>65535 0 0 deny ip from any to any<br><br># ipfw nat show config <br><br>ipfw nat 123 config if bce0 log<br><br># ifconfig<br><br>bce0: flags=8843&lt;UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST&gt; metric 0 mtu 1500<br> options=c01bb&lt;RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,TSO4,VLAN_HWTSO,LINKSTATE&gt;<br> ether ac:16:2d:b2:b5:dc<br> inet 192.168.1.107 netmask 0xffffff00 broadcast 192.168.1.255<br> media: Ethernet autoselect (100baseTX &lt;full-duplex&gt;)<br> status: active<br>bce1: flags=8843&lt;UP,BROADCAST,RUNNING,SIMPLEX,M https://opennet.ru/openforum/vsluhforumID1/94454.html#7 Wed, 13 Mar 2013 14:10:56 GMT то есть машина вешается полностью? А что при этом пишет на консоли, тоже, что и в первом посте Вы писали? И что пишет в messages.log и скиньте еще пожалуйста <br>ipfw nat 1 show config<br>ifconfig<br> https://opennet.ru/openforum/vsluhforumID1/94454.html#6 Wed, 13 Mar 2013 13:59:22 GMT &gt;[оверквотинг удален]<br>&gt;&gt; any <br>&gt;&gt; Пожалуйста.<br>&gt; Судя по rc.conf вы используете ipv4 <br>&gt; Зачем в правилах ipfw ipv6 ?<br>&gt; Тип файервола указан как OPEN <br>&gt; который предполагает подгрузку всего одного правила <br>&gt; 65000 pass all from any to any <br>&gt; У вас есть и другие правила.<br>&gt; Тогда при чем здесь OPEN ?<br>&gt; Попробовать подгружать правила для nat прямо в самом скрипте?<br><br>Установил уже 32-разрядную FreeBSD 9.1 (на том же железе)<br><br>cat /etc/rc.conf<br><br>hostname="serv.local"<br>ifconfig_bce0=" inet 192.168.1.107 netmask 255.255.255.0"<br>ifconfig_bce1=" inet 192.168.90.1 netmask 255.255.255.0"<br><br>defaultrouter="192.168.1.1"<br>sshd_enable="YES"<br>ntpd_enable="YES"<br># Set dumpdev to "AUTO" to enable crash dumps, "NO" to disable<br>dumpdev="NO"<br><br><br>firewall_enable="YES"<br>firewall_quiet="YES"<br>firewall_type="OPEN"<br><br>firewall_nat_enable="YES"<br>firewall_nat_interface="bce0"<br>dummynet_enable="YES"<br><br>В ядре выпилил поддержку IPv6.<br><br>Вот изменения от GENERIC<br><br># changes<br># options INET6 # https://opennet.ru/openforum/vsluhforumID1/94454.html#5 Wed, 13 Mar 2013 09:44:48 GMT &gt;[оверквотинг удален]<br>&gt; to ff02::/16 <br>&gt; 00900 0 0 allow ipv6-icmp from <br>&gt; any to any ip6 icmp6types 1 <br>&gt; 01000 0 0 allow ipv6-icmp from <br>&gt; any to any ip6 icmp6types 2,135,136 <br>&gt; 65000 0 0 allow ip from <br>&gt; any to any <br>&gt; 65535 6 452 deny ip from any to <br>&gt; any <br>&gt; Пожалуйста.<br><br>Судя по rc.conf вы используете ipv4<br>Зачем в правилах ipfw ipv6 ?<br><br>Тип файервола указан как OPEN<br>который предполагает подгрузку всего одного правила<br>65000 pass all from any to any<br>У вас есть и другие правила.<br>Тогда при чем здесь OPEN ?<br><br>Попробовать подгружать правила для nat прямо в самом скрипте?<br> https://opennet.ru/openforum/vsluhforumID1/94454.html#4 Wed, 13 Mar 2013 07:46:10 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; ipfw_nat_enable="YES" <br>&gt;&gt;&gt; ipfw_nat_interface="bce0" <br>&gt;&gt; Извиняюсь, конечно же включал так <br>&gt;&gt; firewall_nat_enable="YES" <br>&gt;&gt; firewall_nat_interface="bce0" <br>&gt;&gt; скопипастил не те комментарии из rc.conf !<br>&gt; Я, конечно, очень дико извиняюсь )), но может вы еще <br>&gt; что-нибудь скопипастили не то?<br>&gt; Сам firewall, например, в rc.conf не включили?<br>&gt; rc.conf и ipfw show в студию?<br><br>$ cat /etc/rc.conf <br><br>hostname="serv.local"<br><br>defaultrouter="192.168.1.1"<br>ifconfig_bce0="inet 192.168.1.107 netmask 255.255.255.0"<br><br>ifconfig_bce1="inet 192.168.90.1 netmask 255.255.255.0"<br><br>gateway_enable="YES"<br><br>sshd_enable="YES"<br>ntpd_enable="YES"<br><br>firewall_enable="YES"<br>firewall_quiet="YES"<br>firewall_type="OPEN"<br><br>firewall_nat_enable="YES"<br>firewall_nat_interface="bce0"<br>dummynet_enable="YES"<br><br>named_enable="YES"<br><br><br># ipfw show<br><br>00050 238 24995 nat 123 ip4 from any to any via bce0<br>00100 80 11684 allow ip from any to any via lo0<br>00200 0 0 deny ip from any to 127.0.0.0/8<br>00300