Страница 1 из 1

Запутался с net.link.ether.ipfw

Добавлено: 2009-11-24 19:04:56
armadex
net.link.ether.ipfw=0

Код: Выделить всё

ipfw nat 100 config if em0
ipfw add allow ip from 'table(1)' to 'table(1)'
ipfw add nat 100 ip from 'table(1)' to any
ipfw add nat 100 ip from any to ВНЕШНИЙ_IP
ipfw table 1 add 172.24.33.0/24
em0 естественно смотрит в инет, все работает!
ставлю net.link.ether.ipfw=1
НАТ перестает работать, подскажите куда копать плиз!

Re: Запутался с net.link.ether.ipfw

Добавлено: 2009-11-24 20:38:56
hizel
зачем вам ether ?

все написанно в man ipfw, а также в голове должна быть картина работы layer2

Re: Запутался с net.link.ether.ipfw

Добавлено: 2009-11-24 21:22:47
armadex
вообще то что бы по МАСу фильтровать нежелательных пользователей. А по существу на что то подтолкнете?

Re: Запутался с net.link.ether.ipfw

Добавлено: 2009-11-24 22:33:07
hizel
по существу все написанно в man ipfw
суть в прохождении пакета два раза в одну сторону
сначала с mac потом без него

из этого кстати следует, что

Код: Выделить всё

ipfw add allow ip from 192.168.0.1 to any in via int0
работать для первого раза не будет

ээ, ну там еще широковещательные arp запросы, vlan-ы и т.д.
сложность построения фаерваола увеличивается на парядок

в вашем случае вопервых поступите как советуют в man ipfw
отфильтруйте по признаку layer2 тот интерфейс где будете проверять мак-и

и пишите {неразборчивые ругательства} нат в виде

Код: Выделить всё

ipfw add nat X ip from any to any out via $uplink
ipfw add nat X ip from any to $nat_ip out via $uplink
не забывайте о порядке правил, разберите примеры из хэндбука в главе ipfw, подумайте почему там nat правила расположены именно так

Re: Запутался с net.link.ether.ipfw

Добавлено: 2009-11-25 9:07:48
armadex
спасибо за пинок, более менее понял