Demis писал(а): ↑2021-03-12 11:55:30
Кип-стейты это свойство "рабочего" интерфейса ната, т.е. того на котором непосредственно происходит "перевертыш" пакета, если мне правильно помнится (поскольку только в этот момент можно "пометить", тегировать, пакет).
Понимаю, что написал очень расплывчато и в силу этого может быть истолковано не верно.
Но постараюсь объяснить по другому.
Пакет, пришедший изнутри сети, на интерфейсе rl1 попадает в ipfw, где у пакета возникает "метка" (очень упрощенно).
В случае когда пакет "хочет" выйти "наружу" за пределы ната (через wlan0), то оный должен быть обслужен.
Т.е. пройти через правило "разрешающее/запрещающее" это действо.
Тогда "правило разрешающее это действо" запомнит этот момент (собственно кип-стате, в данном случае),
снабдив ipfw дополнительной информацией (откуда, куда, позже пройдет перевертыш/подмена и пр.),
поднимет (при необходимости) в ipfw обратное правило (именно поэтому оное называют динамическим, увидеть его/их можно по "ipfw -d show") и выпустит в wlan0.
Конечно, если-бы на планшете был tcpdump, то можно было-бы понять "долетел пакет" физически или нет до планшета (и не забывайте, что на самом планшете при выходе в Интернет тоже скорее всего нат поднимается, но сейчас это не важно).
Но там такого обычно нет.
С другой стороны, косвенно, можно увидеть этот момент через логи ipfw или через "ipfw -d show".
При пинге должно увеличиваться число во втором поле (первое поле - номер правила, второе - число пакетов, третье - размер данных, далее само правило).
Вот и возникает вопрос "при тестовом пинге с 0.10 в каком именно правиле идет прирост числа пакетов"?
Только важно еще помнить,
что на счетчики могут влиять другие пакеты сети,
что пакеты пинга могут попадать в другие правила (и часто вовсе не те, на которые ожидаются),
т.е. нужна очень внимательная аналитика получаемых значений диагностики.