forum.lissyara.su

Собственно статья

я бы конечно всем кто пишет статьи где есть фаерволы
рекомендовал бы рисовать топологию
что бы народ хоть как то ориентировался
а то потом берут и тупо копи пастят все конфиги (с видом что что то делали)
и прибегают с вопросом а что у них не работает

Так собственно что там рисовать? Один линк и тот на прова. Никаких излишеств.

"наглядность наглядность"
это то что еще както может остановить "копипастеров"
как показывает практика
90% народу вообще ничего не читают
а методом копи паст хотят что бы у них все работало
токо потому что есть знакомые слова в статье))))

Пока писал вопрос к статье - осенило ))
Задача была - разделять по различным IP клиентские приложения (запущенные на машинке с ipfw), которые подключаются на один и тот же dst-port с различных src-port. (тоесть различить их нельзя, как сервисы ssh/telnet/smtp....). Кстати, магическим образом, bind сокетов к алиасовым IP у меня не работал... ЗЫ: топология такая же, как в статье.
Решение:
Прописываем алиасами различные айпи на свой линк. И просто запускаем клиентские приложения от имени различных пользователей (можно через sudo))! Далее, в помощь приходит параметр ipfw-паравил "uid".

А если траф транзитный?

bekhterev писал(а):А если траф транзитный?

Тут уж прикольные идеи заканчиваются ((
Тоже была такая трабла...
Должно, в принципе, сработать при ipnat (или другим натом...) с конфигом: И так для всех, кого надо посылать транзитом. Но это как-то с передподнадвывертом... А вот без ната как - я хз насчёт красивого решения

Ну еще есть PF, но статья не про него :-)