как  в PF? "отнатить" исходящие от локальной программы пакеты?

• PF vs local program,niksonnnn, 10:08 , 19-Авг-08
  • PF vs local program,vitalic, 10:11 , 20-Авг-08
    • PF vs local program,niksonnnn, 11:07 , 20-Авг-08
      • PF vs local program,vitalic, 11:40 , 20-Авг-08
• PF vs local program,Князь, 03:41 , 20-Авг-08
  • PF vs local program,A Clockwork Orange, 11:42 , 20-Авг-08
    • PF vs local program,Князь, 16:03 , 20-Авг-08
    • PF vs local program,vitalic, 16:37 , 20-Авг-08
      • PF vs local program,Князь, 16:40 , 20-Авг-08
• PF vs local program,mikra, 17:12 , 20-Авг-08
  • PF vs local program,vitalic, 17:15 , 20-Авг-08
    • PF vs local program,Князь, 17:17 , 20-Авг-08
      • PF vs local program,mikra, 17:39 , 20-Авг-08
        • PF vs local program,mikra, 17:42 , 20-Авг-08

Э, man pf?

Да и если имеется ввиду уровень приложений - то это не к pf))))

>Э, man pf?
>
>Да и если имеется ввиду уровень приложений - то это не к
>pf))))

Ну почему-же. В pf можно контролировать трафик на уровне юзеров. Зная от имени какого юзера запущено приложение, можно контролировать его трафик.

>>Э, man pf?
>>
>>Да и если имеется ввиду уровень приложений - то это не к
>>pf))))
>
> Ну почему-же. В pf можно контролировать трафик на уровне юзеров. Зная
>от имени какого юзера запущено приложение, можно контролировать его трафик.

А если у юзера есть несколько приложений???? 0_о

>>>Э, man pf?
>>>
>>>Да и если имеется ввиду уровень приложений - то это не к
>>>pf))))
>>
>> Ну почему-же. В pf можно контролировать трафик на уровне юзеров. Зная
>>от имени какого юзера запущено приложение, можно контролировать его трафик.
>
>А если у юзера есть несколько приложений???? 0_о

  Смотря какая постановка вопроса.
   Кого контролировать: программу или пользователя.
  Человек спросил "как  в PF? "отнатить" исходящие от локальной программы пакеты?".
ВЫход я вижу такой: создать пользователя (если надо) и от имени этого пользователя запустить программу. А потом в pf создать правила для этого пользователя.
  
Я так делал с проки-сервером.
  

>как  в PF? "отнатить" исходящие от локальной программы пакеты?

Запустил второй Squid через setfib и по нему пустил трафик на требуемые сайты.

если трафик исходит с машины с натом, с внешнего интерфейса, как это еще натить?

>если трафик исходит с машины с натом, с внешнего интерфейса, как это
>еще натить?

В iptables есть цепочка POSTROUTING, которая - если не ошибаюсь - совершает подобное действие в отношении исходящих пакетов. В freebsd (pf) хотелось добится подобного эффекта.

По поводу squid, несмотря на все мои манипуляции (шлюз с двумя каналами связи, fxp0 [Основной шлюз - xxx.yyy.zzz.aaa] и fxp1 [альтернативный - rrr.eee.ccc.ddd]) с правилами pf (с и без конструкции route-ro) не удалось добиться корректной работы. Пакеты по fxp1 уходили с адресом интерфейса fxp0 или же, при попытке использования опции tcp_outgoing_address, пакеты уходили с адресом интерфейса fxp1, но с билетом в один конец.

>если трафик исходит с машины с натом, с внешнего интерфейса, как это
>еще натить?

  Немогу понять, что в твоем случае еще надо натить, объясни.

  Я сделал так: все что приходит на внутр. интерф.  метится с пом tag, поэтому и нат только для меченых пакетов. Для сервисов, которые работают непосредственно на сервере - свои правила, и с "натовскими" никак не пересекаются.

>>если трафик исходит с машины с натом, с внешнего интерфейса, как это
>>еще натить?

Вопрос вероятно адресован мне

>
>  Немогу понять, что в твоем случае еще надо натить, объясни.
>
>
>  Я сделал так: все что приходит на внутр. интерф.  
>метится с пом tag, поэтому и нат только для меченых пакетов.
>Для сервисов, которые работают непосредственно на сервере - свои правила, и
>с "натовскими" никак не пересекаются.

Я в верхнем посте уже написал.

>как  в PF? "отнатить" исходящие от локальной программы пакеты?

нат, если по-колхозному, то это механизм связи между сетью и одним адресом (или группой адресов).
На компе надо создать подсеть, в которой будет работать приложение, чей трафик нужно натить на внешний адрес компа? Это неверное применение слова "натить" или действительно так нужно извратиться? О_о

Если требуется контролировать трафик от одного приложения, то можно засунуть это приложение в jail с отдельным ip адресом. Потом в файрволе для этого адреса писать какие угодно правила.

А задумка автора, тоесть задача все равно не понятна

>[оверквотинг удален]
>(или группой адресов).
>На компе надо создать подсеть, в которой будет работать приложение, чей трафик
>нужно натить на внешний адрес компа? Это неверное применение слова "натить"
>или действительно так нужно извратиться? О_о
>
>Если требуется контролировать трафик от одного приложения, то можно засунуть это приложение
>в jail с отдельным ip адресом. Потом в файрволе для этого
>адреса писать какие угодно правила.
>
>А задумка автора, тоесть задача все равно не понятна

  Вот и я о том же.

Тема закрыта, я добился поставленных целей. Всем спасибо.

>Тема закрыта, я добился поставленных целей. Всем спасибо.

Молоток!
Никому теперь не рассказывай. Пусть эти лузеры и дальше голову ломают

>>Тема закрыта, я добился поставленных целей. Всем спасибо.
>
>Молоток!
>Никому теперь не рассказывай. Пусть эти лузеры и дальше голову ломают

аа, написал, это я сегодня невнимательный :)