Страница 1 из 1
ipfw divert dhcp
Добавлено: 2011-04-04 23:01:46
balamut
Здравствуйте. подскажите как сделать divert в ipfw если на устройстве которое смотрит в инет dhcp?? 2 часа уже ищу.
/sbin/ipfw -q add divert natd ip from 192.168.5.1/24 to any out via em0
/sbin/ipfw -q add divert natd ip from any to 111.111.111.111 in via em0
как сделать вместо 111.111.111.111 укзывался адрес интерфейса?
Re: ipfw divert dhcp
Добавлено: 2011-04-04 23:13:00
Гость
никак
ipfw не умеет работать с динамическими интерфейсами
вообще нормальные люди делают только один диверт
any to any via em0
Re: ipfw divert dhcp
Добавлено: 2011-04-04 23:27:28
rmn
balamut писал(а):
как сделать вместо 111.111.111.111 укзывался адрес интерфейса?
Код: Выделить всё
/sbin/ipfw -q add divert natd ip from any to me in via em0
в настройках natd или ipfw nat указывать не ip, а интерфейс
Re: ipfw divert dhcp
Добавлено: 2011-04-04 23:34:54
Гость
не уверен что me будет апатся если интерфейс получит новый айпи по dhcp
ipfw show же me не видно?
там вместо me при ipfw add опознается и ставится айпишник
Re: ipfw divert dhcp
Добавлено: 2011-04-05 0:02:25
rmn
Гость писал(а):
не уверен что me будет апатся если интерфейс получит новый айпи по dhcp
Если в правиле есть токен
me, ipfw будет проверять адреса на всех существующих интерфейсах для каждого проходящего пакета.
За изменением адреса на интерфейсе следит libalias, на которой основаны и natd и ipfw nat.
Но для этого указывается не IP, а имя интерфейса.
для natd:
Код: Выделить всё
interface xxx0 - в файле
или
-interface xxx0 - в ком. строке
для ipfw nat:
Re: ipfw divert dhcp
Добавлено: 2011-04-05 0:16:04
Гость
Если в правиле есть токен me, ipfw будет проверять адреса на всех существующих интерфейсах для каждого проходящего пакета.
есть под руками бсд?
покажите ipfw show номер
после ipfw add номер ..... me ....
либ альяс возможно следит за ядреным натом, но ни за дивертом
Re: ipfw divert dhcp
Добавлено: 2011-04-05 0:31:01
rmn
Гость писал(а):
есть под руками бсд?
покажите ipfw show номер
после ipfw add номер ..... me ....
да, совершенно случайно оказалась под руками
Код: Выделить всё
remcomp# ipfw add 65534 allow ip from any to me in
65534 allow ip from any to me in
remcomp# ipfw show
00100 5982 13883204 allow ip from any to any via lo0
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
00400 0 0 deny ip from any to ::1
00500 0 0 deny ip from ::1 to any
00600 0 0 allow ipv6-icmp from :: to ff02::/16
00700 0 0 allow ipv6-icmp from fe80::/10 to fe80::/10
00800 0 0 allow ipv6-icmp from fe80::/10 to ff02::/16
00900 0 0 allow ipv6-icmp from any to any ip6 icmp6types 1
01000 0 0 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
65000 1566566 1091328498 allow ip from any to any
65534 0 0 allow ip from any to me in
65535 0 0 allow ip from any to any
Гость писал(а):
либ альяс возможно следит за ядреным натом, но ни за дивертом
Она не следит ни за одним, ни за другим.
Libalias - модуль ядра, который занимается трансляцией адресов.
natd и ipfw nat - это только надстройки, которые парсят юзерские параметры и спрашивают у libalias, следует ли заменять адрес в пакете и если да, то на какой.
Re: ipfw divert dhcp
Добавлено: 2011-04-05 0:34:54
Гость
значит это me я с какой то другой системой перепутал
где me не опознается в ядре