mlevel писал(а):Сложновато...
а в чем именно сложность ?
mlevel писал(а):А если сделаю так на одном сервере(два firewall одновременно):
будет работать
mlevel писал(а):будет ли затык в производительности? нужно выжать 1Гбит.
не выжмешь ты гигабита имея столько служб на одном сервере.
более того тебе скажу, мы перепробовали кучу типов ната:
и прокачать гигабит не сумел ни один. под "прокачать" я понимаю прохождение трафика без жалоб, на низкую скорость, проблемы в передаче трафика и т.п. но по ощущениям лучше всех показал себя именно ipfw kernel nat, на втором месте я бы поставил ng_nat, на третье PF, далее ipnat ну и в конце natd.
500 мбит было, но далее могут начинаться проблемы.
Посмотри по top -SP как у тя нагружен процесс swi1:net, вот в него все и упрется в итоге, когда он достигнет 100% начнется .опа.
Что бы выжать гигабит придется разделать задачи между серверами: allow,deny,shaper - на одном сервере, nat - на другом.
м.б. потребуется и не один сервер под одну задачу.
тебе же ещё трафик где то считать надо, а считать его нужно ДО процесса NAT, а значит и считалка трафика у тя скорее всего на сервере доступа стоит.