forum.lissyara.su

one_pass = 0 (вообще где то читал, что в 8.1 one_pass всегда 0)

1. Почему может не работать конструкция : Вариации с xmit, recv тоже не пахают. Приходится пользоваться конструкцией Соответственно, nat приходится конфигать с deny_in. И вот тут след вопрос.
2. ЧТо происходит с пакетом попавшим в nat с deny_in извне ? Он блокируется наглухо ? или тупо nat с ним ничего не делает и он идёт дальше по правилам ? (кажется мне что наглухо блокируется, если в таблице ната нет соответствующей записи).
Далее, как разделить траффик инициированный самим шлюзом от трафика лок сети ? (ну то есть не отправлять в нат, то, что не должно туда итти ?). У меня пока мысль использовать что то типа Как теперь сделать, чтобы трафик вышедший из nata, уже замаскараденный не попадал под это правило ?
Есть ли в ipfw конструкция чтобы проверить, что у пакета нет заданного тага ? чтобы можно было сделать а ля :
Или тупо не бабахать мозг и убрать deny_in ?

Хмм
меня проглючило, показалось что не работает сквид, из за того что отрубается deny_in натом. Но он по ходу дела всё таки работает, хотя непонятно почему.
Или все исходящие соединения тоже попадают в nat, и приходя обратно - не рубятся им, потому что в nat есть запись ?

тогда такой вопрос : Стоит ли городить огород, чтобы в нат шёл только тот траффик, который должен итти. Или нет ничего страшного чтобы через nat шёл весь траффик ?

И в догонку вопрос
Есть ли в ipfw аналог pf-ского reply-to ? Или для nginx, openvpn ,... (всего что должно слушать сразу много инетов) придётся запускать по второму экземпляру с другим setfib ?

1. имеют значение все правила, оба варианта правил могут работать
2. блокирует входящие соединения из вне, которых нет в таблице трансляции этого nat-а
man ipfw, tagged

man ipfw, tagged

Это то я покурил.

To check for previously applied tags, use the tagged rule option.

А что делать, если мне нужно To check that concrete tag was _not_ applied ? ?

курите выше

RULE OPTIONS (MATCH PATTERNS)
Additional match patterns can be used within rules. Zero or more of
these so-called options can be present in a rule, optionally prefixed by
the not operand, and possibly grouped into or-blocks.

Спасибо
Просто чтение манов меня вводит в депрессию, поэтому стараюсь их читать по диагонали выясняю детали в инете
Плохое качество, согласен. Буду над собой работать.

Есть вопрос по ipfw nat:
Имею FreeBSD 8.2-STABLE #0 заворачиваю трафик в nat двумя правилами: Вопрос: конструкция с правилами такого вида прекрасно работает при установленном переметре net.inet.ip.fw.one_pass=0, после перезагрзуки системы этот параметр отаётся равным 0, но Ipfw ведёт себя так, будто net.inet.ip.fw.one_pass=1, до тех пор пока не сделаешь /etc/rc.d/ipfw restart

Есть предположения?

<телепат>
см. kldstat до и после ipfw restart
</телепат>