|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Alexander Shevchenko 2:5020/1817.26 04 Aug 2004 01:34:31
To : ‚ᥬ
Subject : FreeBSD 4.4R ipfw tee/divert
--------------------------------------------------------------------------------
В ipfw есть вот такие строки:
10400 4176099 248578566 allow ip from 10.0.0.0/8 to any
10400 4501894 1178887694 allow ip from any to 10.0.0.0/8
Пакеты сети 10/8 идут через nat. Все работает. Добавляем вот такую строчку:
10350 876 69231 tee 8667 ip from 10.0.0.0/8 to any
Счетчик увеличивается у 10350, но ничего не работает (то есть аська теряет
конект с серваком, броузер законектится не может и к самбе тоже доступа нет).
Хотя пакеты на порт шлются. Ок. Возвращаем их с порта обратно. Счетчик
увеличивается и у 10400. Все правильно. Появляются "дупы", что тоже логично, но
все равно ничего не работает. и в свете "неработы" как то все запутанно
становится.
Проводим тот же эксперимент с пакетами не проходящими через nat - все
работает как и должно.
Заменяем tee на divert (ну и разумеется, возвращаем пакеты) - все рабоатет и
с nat-ом и без него.
Hичего не понимаю. Man читал. tee и divert, как я понял, отличаются тем, что
в первом случаи пакет копируется в порт, а во втором перенаправляется. Пакет
перед посылкаой пересобирается. То есть "эффект" nat-а исчезает? Hо почему тогда
диверт работает?
В мане есть абзац про tee, который я не совсем понял (вернее совсем не
понял):
Packets that match a tee rule should not be immediately accepted, but
should continue going through the rule list. This may be fixed in a
later version.
Что они понимают под "immediately accepted"? Я это перевел как "немедленно
принятым". Hо смысла не понял.
Alexander Shevchenko
... Default tagline #2
---
* Origin: Default origin (2:5020/1817.26)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
