|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Alex Bakhtin 2:5020/400 20 Jul 2007 12:14:39
To : Victor Sudakov
Subject : Re: ipfw and keep-state
--------------------------------------------------------------------------------
>>>>> "VS" == Victor Sudakov writes:
Привет,
>> Вероятно при попытке установить соединение с хостом y.y.y.y нат заменяет в
>> исходящем пакете src_ip на некий публичный адрес, не входящий в подсеть
>> x.x.x.x/27, поэтому правило 220 не срабатывает.
VS> Так и есть. А как же теперь написать правило с keep-state, чтобы
VS> учесть NAT?
Используй не allow а skipto. Возможно, в сочетании с навешиванием
тега. У меня оно сделано как-то так. Конфиг не полный и до конца не
доработанный (нет времени), но практически все, что мне нужно -
работает. До выхода релиза семерки трогать ничего не буду, скорее всего.
Два аплинка - через ng0 и ng1. Тег навешивается в целях
connection-oriented полиси роутинга. Естественно, one pass выключено.
add 00050 divert 8768 ip from any to any in via ng0
add 00051 divert 8868 ip from any to any in via fxp0
add 00052 divert 8968 ip from any to any in via ng1
add 00100 check-state
add 10001 skipto 50000 tcp from not table(127) to me dst-port 22
setup keep-state
add 10031 skipto 50000 tag 1000 tcp from me to any setup keep-state out via
ng1
add 10032 skipto 50000 tag 2000 tcp from me to any setup keep-state out via
ng0
add 10033 skipto 50000 tcp from me to any setup keep-state
add 50008 skipto 54000 ip from any to any out via ste0
add 50009 skipto 54000 ip from any to any out via ste3
add 50009 skipto 54000 ip from any to any out via fxp1
add 50010 skipto 55000 ip from any to any tagged 1000
add 50011 skipto 55000 ip from table(20) to any
add 50020 skipto 56000 ip from any to any tagged 2000
add 50021 skipto 56000 ip from table(10) to any
add 50100 skipto 51000 ip from any to any out via ng0
add 50110 skipto 52000 ip from any to any out via fxp0
add 50120 skipto 53000 ip from any to any out via ng1
add 50900 allow ip from any to any in via ste0
add 50901 allow ip from any to any in via ste3
add 50901 allow ip from any to any in via fxp1
add 50996 allow ip from any to any in via ng1
add 50997 allow ip from any to any in via ng0
add 50998 allow ip from any to any in via fxp0
add 50999 skipto 65000 ip from any to any
add 51000 divert 8768 ip from any to any out via ng0
add 51001 allow ip from any to any
add 52010 divert 8868 ip from any to any out via fxp0
add 52011 allow ip from any to any
add 53000 divert 8968 ip from any to any out via ng1
add 53021 allow ip from any to any
add 54000 allow ip from any to any
add 55010 allow ip from any to any in via ng1
add 55020 divert 8968 ip from any to any
add 55030 fwd 192.168.2.2 ip from any to any
add 56010 allow ip from any to any in via ng0
add 56020 divert 8768 ip from any to any
add 56030 fwd 192.168.1.1 ip from any to any
add 64999 skipto 65000 ip from any to any
--
Best regards, Alex Bakhtin, CCIE #8439
AMT Group, Cisco Systems Gold Partner, http://www.amt.ru
--- ifmail v.2.15dev5.3
* Origin: AMT Group (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
