|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Alexander Shevchenko 2:5020/1817.26 04 Oct 2004 15:45:46
To : Spartak Radchenko
Subject : ipnat
--------------------------------------------------------------------------------
04 октября 2004 03:02, Spartak Radchenko => Alexander Shevchenko:
[skip]
AS>>>> А я ipfw юзаю. А этот что умеет?
SR>>> Да примерно то же самое.
AS>> А по нагрузке он как?
SR> А фиг его знает. Я ipfw никогда не юзал.
А почему? Около пяти лет читаю эту эху и никогда не видел упоминание про ipf. Я
вообще только ща узнал что это файрвол :)
SR> Точно не хуже, чем ipfw. Hасчёт лучше - не уверен. Вот ipnat
SR> однозначно жрёт меньше ресурсов, чем natd.
Да это я слышал....
SR> Да, если у тебя действительно большая нагрузка (много соединений, а не
SR> большой трафик по одному соединению),
А много, это скока? Около 10. Максимум 20, но я такого не замечсал (хотя я и не
всегда смотрю)
[skip]
AS>> Кстати, а как ipnat относится к динамическим интерфейсам? Вроде
AS>> при запуске не ругается, что интерфейса нет...
SR> Hе ругается, но, возможно, придётся пнуть его при поднятии интерфейса.
SR> Согласно докам, достаточно команды ipf -y где-нибудь в скрипте типа
SR> ppp.ip-up. У меня, правда, к mpd прикручен скрипт, в котором помимо
SR> ipf -y есть и ipnat -CF -f. Думаю, это лишнее, но всё ленюсь
SR> проверить.
AS>> И еще одно... сколько раз пакет проходит через
AS>> ipfw при ipnat?
SR> Во, нашёл ссылку.
SR> http://lists.freebsd.org/pipermail/freebsd-net/2004-July/004656.html
Так там как раз про порядок прохождения :) А меня интересует сколько раз они
проходят через файрвол... ща подробней попробую: вообщем у меня тут получается,
что пакет, идущий через ipnat наружу идет вот так:
1. оригинальный адрес отправителя -> internet in
2. занатенный адрес -> internet out
а когда идет обратно, то вот так:
1. internet -> оригинальный адрес получателя (то есть в локалке) in
1. internet -> оригинальный адрес получателя (то есть в локалке) out
Это соответсвует первой схеме в первой ссылке. Я все правильно понял?
то есть сказав ipfw 10 deny all from any to me via ${inet_interface}
Я забью пакеты ко мне, но не к пользователям за ipnat-ом... так?
А после патча в случаи когда пакет уходит в инет я не буду видеть занатенный
пакет?
Alexander Shevchenko
... Default tagline #2
---
* Origin: Default origin (2:5020/1817.26)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
ipnat |
Alexander Shevchenko |
04 Oct 2004 15:45:46 |
 Re: ipnat |
Spartak Radchenko |
04 Oct 2004 17:38:09 |
|
|
