|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : mitrohin a.s. 2:5020/400 09 Feb 2008 17:36:48
To : igor.potapenko
Subject : Re: pf: quick или не quick ?
--------------------------------------------------------------------------------
On Thu, Feb 07, 2008 at 10:54:04PM +0000, igor.potapenko wrote:
> table <int_addr1_net> { ... }
> // сети доступные, через первые внутренние интерфейсы
> table <int_addr2_net> { ... }
> // сети доступные, через вторые внутренние интерфейсы
>
> table <my_int_addr1> {1.1.1.1 1.1.1.2 1.1.1.3}
> // несолько алиасов из одной подсети.
> table <my_int_addr2> {2.2.2.1 2.2.2.2 2.2.2.3}
> // несолько алиасов из другой подсети.
> table <my_ext_addr1> {5.5.5.5 6.6.6.6}
> // адреса смотрят в инет. есть load balancing по
> // средствам этого конфига
>
> anchor out_local from <my_int_addr1> to any
> anchor out_local from <my_int_addr2> to any
> anchor out_inet from <my_ext_addr> to any
>
> anchor in_local from <int_addr1_net> to <my_int_addr1>
> anchor in_local from <int_addr2_net> to <my_int_addr2>
>
> anchor inet_traf from <inet_addr1_net> to any
>
напиши пожалуйста внятным языком, чего хочется. желательно выделить
показательный принципиальный пример, максимально простой и лишённый
зависимостей от несущественных деталей. ;)
> 1. как не допустить прохождение пакета сразу в 2 анкора?
> Т.е. в inet_traf будет почти всё разрешено, но под any попадают и
> локальные адреса. Хотелось бы максимально исключить такую возможность
> конфигурирования (в т.ч. случайную)
>
quick наверное написать. у меня 99% правил quick.
> 2. чем лучше пользоваться: quick или без quick. Работают ли keep state
> корректно с quick ? необходимо, чтобы пакеты, отправляемые с 1.1.1.2
> отправлялись через соотвествующий интерфейс(маки должны совпадать.)
>
работают.
> на всякий случай приведу пример (кстати, работающий очень и очень
> странно. скорее даже неработающий.
> надеюсь хоть немного будет ясно, что я хочу)
> anchor out_local
>
> gateif= {ext_if1 ext_if2}
> allintif={inf_if1 inf_if2}
> pass out quick on $ext_if1 from $ext_addr1 to any keep state
> pass out quick on $ext_if2 from $ext_addr2 to any keep state
>
>
> pass out quick on $int_if1 from <int_addr1_net> to
> $int_if_local:network
>
> pass out quick on $allintif route-to ($int_if1 $int_addr_peer) from
> $int_addr1 to <net_int2>
> pass out quick on $allintif route-to ($int_if2 $int_addr_peer) from
> $int_addr2 to <net_int2>
>
>
> pass out quick on $gatesif route-to ($ext_if1 $ext_addr1_peer)
> from $ext_addr1 to any
> pass out quick on $gatesif route-to ($ext_if1 $ext_addr2_peer)
> from $ext_addr2 to any
>
> ====
> здесь 2 внешний интерфейса и 2 внутренних.
> ещё есть нат на внешних интерфейсах,
>
не представляю задачи, которую нельзя было бы решить средствами pf :)
так что русскими словами давай.
/swp
--- ifmail v.2.15dev5.4
* Origin: Barnaul State Pedagogical University InterNetNews site (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
Re: pf: quick или не quick ? 
