Доброго дня.

На шлюзе под FreeBSD 9.1 имеется natd. (Про существование NAT в составе ipfw в курсе, но пока недосуг на него переехать).
Недавно, в связи с подключением нового провайдера IP-телефонии возникла проблемка, требующая более глубокого понимания работы демона natd. Если совсем коротко, то техподдержка провайдера уверяет, что мой NAT слишком быстро "забывает" маршрут и рекомендует подкрутить настройки моего NAT. Не уверен, что они правы в своей рекомендации (с другими то провайдерами нет проблем), но таки решил посмотреть, что можно сделать в этом направлении.

Теперь по сути. Когда устанавливается соединение из локальной сети во внешнюю, natd записывает в свою внутреннюю таблицу соответствие IP-адресов и портов, между которыми устанавливается соединение. И далее гоняет пакеты в соответствии с этой таблицей. Это понятно.

Возникли вопросы, на которые скудный man natd не дал ответа:
1. Как долго помнит natd это соответствие? (перезапуск демона не в счет)
2. Что заставляет natd "забыть" это соответствие (какие-то таймауты, информация из заголовков пакетов, что-то еще)?
3. Как можно посмотреть текущую таблицу соответствий? Если это вообще возможно...
4. Можно ли как-то управлять временем жизни оной таблицы соответствий при помощи конфига или каким-то другим способом?

Заранее благодарю за подробный ответ или отсылку к документу с разъяснениями по существу вопросов.

VGreyсмотрите sysctl net.inet.tcp.keepidle
Да, вроде как два часа. Но распространяется ли это на маршрут, поддерживаемый natd?


VGreyИными словами, natd держит соединения достаточно долго, и Ваша проблема, скорее всего, в чем-то другом. Например, попробуйте тут более детально описать ее проявленияПротокол SIP. Моя мини-АТС из локальной сети регистрируется у нескольких провайдеров IP-телефонии. Регистрация (два пакета от меня и два ответных от провайдера) происходит раз в пять минут (менее на мини-АТС установить невозможно).
Проблемный провайдер не может послать мне входящий вызов (пакет инвайт) через некоторое время после регистрации. Например, через минуту после регистрации пакет проходит и соединение удается установить, а через четыре минуты - нет. В затишье сравнил обмен по SIP между разными провайдерами. Оказалось, что от беспроблемных провайдеров в промежутках между регистрациями проходит еще четыре "холостых" пакета (запрос опций), которые, как мне кажется, и удерживают соединение. Отсюда и сложилось впечатление о том, что кто-то где-то забывает маршрут быстрее чем через пять минут.
На моей стороне потенциально проблемными вроде бы могут быть только natd и ipfw. Вот потому и решил немного углубиться в понимание.

Эммм... Тогда еще вопрос вылез.
Если правильно понимаю, тут UDP используется.

Переменная net.inet.tcp.keepidle распространяется только на TCP, или и на UDP тоже?

Почему спрашиваю... Для UDP не обнаружил аналогичного параметра

VGreyнасколько помню, время "удержания" udp определено в самом коде natd и оно порядка двух минут. Но могу и ошибаться.По крайней мере, такое время очень похоже на правду. Эх, жаль что код на Си только "читаю со словарём"...

И всё же, остался третий вопрос, чисто академического интересу. Можно ли в реальном времени посмотреть таблицу natd?

VGreyпробросить udp-порт на АТС, например, средствами natdТак и сделал с утра. Вроде бы, должно помочь. Посмотрим, что получится. Проблема то не постоянна, возникает только в относительно тихое от звонков время. А пока активно названивают - жалоб нет.

bga83vkle,
не смотрел в сторону pf?Не смотрел. Нонешний конфиг в основном написан более семи лет назад и при необходимости слегка допиливается. Работает же исправно, задачи выполняет...

bga83время таймаута для udp соединений задается в конфиге и легко меняется.У него свой NAT?