Главная страница
О проекте Навигация Контакт
Поиск


ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Vadim Guchenko                       2:5020/400     09 Dec 2004  10:33:14
 To : Sultan Azhiguzhayev
 Subject : Re: ipfw natd
 -------------------------------------------------------------------------------- 
 
 Hello, Sultan!
 You wrote to All on Thu, 09 Dec 2004 00:38:05 +0300:
 
  SA> allow from any to any via lo0
 
 allow ip from any to any via lo0
 
  SA> skipto OUT from $vpn to any out
 
 Если уж делить трафик на входящий и исходящий, то весь, без условий. Иначе
 непонятно, что получится. Должно быть:
 
 skipto OUT ip from any to any out
 
  SA> ##IN (входящие пакеты)
  SA> divert natd from any to $natip in recv $natif
 
 После разделения трафика на входящий и исходящий слова in и out использовать
 бессмысленно - и так понятно какой трафик:
 
 divert natd ip from any to $natip recv $natif
 
  SA> # здесь может быть фильтр входящих пакетов
  SA> ...
  SA> #здесь мы считаем входящий трафик пользователей (ng_ipacct)
  SA> tee 3021 ip from any to $vpn recv $natif xmit $vpnif
 
 Поскольку это правило находится в блоке входящего трафика, то исходящий
 интерфейс еще неизвестен, а значит xmit использовать нельзя - не сработает.
 Должно быть:
 
 tee 3021 ip from any to $vpn recv $natif
 
 Также стоит убедиться, что tee работает правильно, и пакет продолжает идти
 дальше по файрволу (в разных версиях freebsd это по-разному). Если нет, то
 использовать divert.
 
  SA> skipto END
 
  SA> ##OUT (исходящие пакеты)
  SA> # здесь может быть фильтр исходящих пакетов
  SA> ...
  SA> #здесь мы считаем исходящий трафик пользователей (ng_ipacct)
  SA> tee 3022 ip from $vpn to any recv
 
 tee 3022 ip from $vpn to any recv $vpnif xmit $natif
 
  SA> divert natd from $vpn to any out recv $vpnif xmit $natif
 
 out излишне:
 
 divert natd ip from $vpn to any recv $vpnif xmit $natif
 
  SA> ##END allow from any to any
 
 allow ip from any to any
 With best regards, Vadim Guchenko.  E-mail: s0lver@kraslan.ru
 
 --- ifmail v.2.15dev5.3
  * Origin: Demos online service (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 Re: ipfw natd   Vadim Guchenko   09 Dec 2004 10:33:14 
 ipfw natd   Sultan Azhiguzhayev   09 Dec 2004 14:30:34 
 Re: ipfw natd   Vadim Guchenko   09 Dec 2004 13:10:15 
 ipfw natd   Sultan Azhiguzhayev   09 Dec 2004 16:47:00 
Архивное /ru.unix.bsd/9179a51f9dd8.html, оценка 2 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional