Добрый день, уважаемые фуромчане! У меня такая задача: строим маршрутизатор на базе FreeBSD, который имеет 2 внешних интерфейса и 1 внутренний. Внешние интерфейсы не должны видеть друг друга, а из подсетей, подключенных к к ним соответственно должен видится только внутренняя подсеть. Так вот вопрос, можно ли создать в IPFW правило, запрещающее передачу ip пакетов от внешнего интерфейса 1 к внешнему интерфейсу 2 и наоборот, не прибегая к применению адресов сетей, т.к. они могут меняться в последствии и дабы не лопатить конфиг обойтись малой кровью. А количество внешних интерфейсов будет значительно больше 2-х. Спасибо.
> Добрый день, уважаемые фуромчане! У меня такая задача: строим маршрутизатор на базе
> FreeBSD, который имеет 2 внешних интерфейса и 1 внутренний. Внешние интерфейсы
> не должны видеть друг друга, а из подсетей, подключенных к к
> ним соответственно должен видится только внутренняя подсеть. Так вот вопрос, можно
> ли создать в IPFW правило, запрещающее передачу ip пакетов от внешнего
> интерфейса 1 к внешнему интерфейсу 2 и наоборот, не прибегая к
> применению адресов сетей, т.к. они могут меняться в последствии и дабы
> не лопатить конфиг обойтись малой кровью. А количество внешних интерфейсов будет
> значительно больше 2-х. Спасибо.посмотрите вариант
deny ip from any to any recv via Iface1 xmit via Iface 2
ну либо если не пройдет, то можно по другому, весь входящий через Iface1 трафик помечаете
и на выходе из Iface2 просто дропаете его, типа так:ipfw add tag 10 pass ip from any to any in via Iface1
ipfw add deny ip from any to any out via Iface2 tagged 10ну и в обратку так-же, вот только не скажу с ходу в какой версии FreeBSD (ipfw) это появилось.
> посмотрите вариант
> deny ip from any to any recv via Iface1 xmit via Iface2deny all from any to any in via $if1 out via $if2
deny all from any to any in via $if2 out via $if1