доброго времени всемподскажите пожалуйста
вопрос 1:
fxp0 - серый IP, локалка
ed0 - реальный IP, Интернет
пакет идёт из локалки в мир
если пакет из локалки в мир прошел правило
100 allow tcp from 10.0.0.0/24 to any http in via fxp0
то нужны ли ему правила
200 allow tcp from 10.0.0.0/24 to any http out via fxp0
300 allow tcp from 10.0.0.0/24 to any http out via ed0
чтобы не напороться на
400 deny all from any to any
Кроме того просветите, если нужны правила 200, 300 то пакет
трижды проходит список правил от начала до конца или один
раз?вопрос 2:
если я пишу правило
100 divert natd all from any to any in via ed0
то пакет изменяет адрес получателя и продолжает движение
по списку правил, или изменяет адрес получателя и входит
в ipfw заново?Не пишите пожалуйста про серые IP в мире и другие проблемы,
в данном случае интересно только прохождение пакетов.
Извините, если путано и заранее спасибо
имелось в виду
100 allow ... in recv fxp0
то нужны ли ему правила
200 allow ... out recv fxp0
300 allow ... out xmit ed0
>имелось в виду
> 100 allow ... in recv fxp0
> то нужны ли ему правила
> 200 allow ... out recv fxp0
200 не нужно
> 300 allow ... out xmit ed0
>>имелось в виду
>> 100 allow ... in recv fxp0
>> то нужны ли ему правила
>> 200 allow ... out recv fxp0
>200 не нужно
>> 300 allow ... out xmit ed0а запретить этот пакет можно правилом 200 deny ... out recv fxp0?
или завернуть на NAT? т.е. можно ли например сделать при прикрученом NAT:
allow tcp from any to any established in recv ed0
allow tcp from any to any smtp setup in recv ed0
allow tcp from any to any pop3 setup in recv ed0
deny all from any to any in recv ed0divert natd all from any to any out recv ed0
Ну в исходном вопросе про НАТ не было ни слова
а было сказано, что не надо говорить про серые IP200 тебе понадобится на обратке, когда пакеты назад будут возвращаться
только его надо переписать
allow tcp from any 80 to localnet out via fxp0
а если ты будешь делить входной и выходной трафик, тебе понадобится два правила диверт: одно на вход, другое на выход