|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Vadim Goncharov 2:5020/400 19 Feb 2008 20:18:36
To : mitrohin a.s.
Subject : Re: pf: quick или не quick ?
--------------------------------------------------------------------------------
Hi mitrohin a.s.!
On Tue, 19 Feb 2008 15:36:45 +0000 (UTC); mitrohin a.s. wrote about 'Re: pf:
quick или не quick ?':
mas>>>>>>> ip доступен в два канала. нужно выпускать обратные пакеты в канал,
mas>>>>>>> _из_ которого пришел запрос.
ma>> >>
ma>> >> И ipfw тут ничем не хуже.
ma>> >>
ma>>> аргументом для "не хуже" может быть только пример на ipfw, если он вообще
ma>>> может тут чем-то помочь.
ma>>
ma>> ipfw add 100 skipto 300 tag 1 in recv $ext_if1 keep-state
ma>> ipfw add 200 skipto 300 tag 2 in recv $ext_if2 keep-state
ma>> ipfw add 300 allow { recv $ext_if1 or recv $ext_if2 } # входящие снаружи
ma>> ipfw add 400 allow in recv $int_if # разрешить ответы на внутреннем
ma>> проходе ipfw add 500 fwd $gw1 tagged 1 # остались ответы на внешнем
ma>> интерфейсе, ipfw add 600 fwd $gw2 tagged 2 # зарулим их куда надо
ma> не верю. у меня ipfw только на 4.11 остался, и проверить на современной
ma> версии будет для меня не просто. у тебя это работает? динамическое правило
ma> c tag, созданное входящим пакетом, будет этот tag выставлять при попадании
ma> ответного пакета?
Разумеется, будет, Алекс Бахтин таким макаром вообще per-flow load balancing
_исходящего_ трафика делал в два канала. Теги появились в 6.2-PRERELEASE. Hа
более ранних можно вместо тегов использовать разные номера skipto, просто
правил будет больше из-за необходимости обработать другие проходы в каждом;
ну это уже оставляется в качестве самостоятельного упражнения.
ma>>>>> я не против того, чтобы pf был способен обрабатывать протоколы
ma>>>>> типа ftp сам, без дополнительных костылей. я за. только на сейчас
ma>>>>> он этого не делает.
ma>>>>
ma>>>> Думаю, и не будет.
ma>>>>
ma>>>>> этого не делает и ipfw. сравниваем ipfw+natd с pf. разве нет?
ma>>>>
ma>>>> Hет. Эта связка как раз ftp в любых позах обрабатывает, потому что
ma>>>> смотрит внутрь пакетов, на протоколы. Аналогично и ng_nat.
ma>>> что "Аналогично и ng_nat"? ng_nat пока еще до natd не дотягивает. если я
ma>>> невнимательно ман прочитал буду признателен за пример "в любых позах ftp"
ma>>> для ng_nat.
ma>>
ma>> Аналогично - потому что он сделан на том же libalias(3). По той части, по
ma>> которой он не дотягивает до natd, я только что патч опубликовал. Однако
ma>> ftp сюда не входит: он уже и так есть из коробки, что в natd, что в
ma>> ng_nat, и никаких ручек для этого крутить не нужно - поскольку это в
ma>> базовом функционале libalias.
ma> как ng_nat-у сказать punch_fw?
Hе знаю, мне это не было нужно.
--
WBR, Vadim Goncharov. ICQ#166852181 mailto:vadim_nuclight@mail.ru
[Moderator of RU.ANTI-ECOLOGY][FreeBSD][http://antigreen.org][LJ:/nuclight]
--- slrn/0.9.8.1 on FreeBSD 6.2/i386
* Origin: Nuclear Lightning @ Tomsk, TPU AVTF Hostel (2:5020/400@fidonet)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
