|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Mykola Dzham 2:5020/400 18 Feb 2005 17:34:27
To : Insaf Bachtijarov
Subject : Re: Squid2.5 тормозит :( и принудительно проксить не хочет
--------------------------------------------------------------------------------
Прежде всего очень не удобно читать письма где не процитировано на что
они отвечают. Hе надо так делать.
Insaf Bachtijarov wrote:
> Я так и делал,
Как делал? Какой фаервол в результате получился?
> толко была строчка
> add fwd 127.0.0.1,3128 tcp from 192.168.24.0/24 to any 80,8080,8101
Била такая строчка. Она даже правильная если не считать не значительную
в данном случае деталь что лучше явно указать "in via rl1" , чтобы
правило применялось только на внутрннем интерфейсе.
> ты сказал после замены адреса натом, с srs ip на ip куда он натит, а натит
> он на rl0, а у него адрес 10.0.5.1
> то никаких from 192 .... не будет
Hа выходе на rl0 после divert natd не будет, но выше указанное правило
сработает еще на входе на интерфейсе rl1.
> В качестве вопроса, для чайника объясни. Правильно ли я понимаю.
> divert 8668 ip from any to any via rl0 (значит все проходящее через rl0
> перенаправляется на порт natd)
Hе на порт на на диверт сокет natd.
> fwd 127.0.0.1,3128 tcp from 192.168.24.0/24 to any 80,8080,8101 (tcp
> проходящее от (чего-то) в порт 80 и т.д.
> заворачивается на порт 3128 локального интерфейса) это чего-то, порт ната
> что-ли,
нет, это порт, на котором у тебя слушает squid.
>ведь пакет по логике до внешнего интерфейса не дошел, хотя уже с
> адресом внешнего интерфейса, или остается локальный интерфейс lo0. Порт я
> ему пытался подсунуть, в доках говорят можно, а этот не берет. Я пока в
> движение пакетов не въеду, есть по этому дока ткни если есть. И что все-таки
> вместо "чего-то", что подставить?
Мне трудно понять этот поток сознания. Можно выражаться пояснее и иногда
пользоваться знаками препинания типа вопросительного знака там, где он
предполагается?
Рекомендую внимательно прочитать man ipfw , причем весь, особенно в
части прохождения пакета.
Там в частности обьясняется что в случае роутера пакет проходит через
фаервол дважды: один раз на входящем интерфейсе и один раз на исходящем
интерфейсе. Причем например правила типа divert nat all via rl0 для
входящих из локальной сети пакетов в первый раз не будут дествоватьй
(потому как они входят на rl1), а во второй раз будут будут срабатывать
(потому как уходят на интерфейс rl0).
--
LEFT-UANIC
JID: levsha@jabber.kiev.ua
--- ifmail v.2.15dev5.3
* Origin: National Taras Shevchenko University of Kyiv (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
