URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 2297
[ Назад ]

Исходное сообщение
"Недопонимание с IPFW !"
Отправлено Vanger13 , 13-Сен-05 16:25

стоит FreeBSD 5.4, на внешнем интерфейсе два IP, подняты два ната. пытаюсь разделить страфик на эти два ната
100 divert 8668 tcp from 192.168.1.5 to any via rl0
200 divert 8668 tcp from any to 111.222.333.444 via rl0
300 divert 8669 tcp from not 192.168.1.5 to any via rl0
400 divert 8669 tcp from any to 111.222.333.555 via rl0
где 111.222.333.444 и 111.222.333.555 адреса, соотвествующие портам ната.
в итоге при попытке выйти с любого IP кроме 192.168.1.5 всё работает как надо, попадаю в 8669 и иду от 111.222.333.555. но если я попытаюсь подключиться куда-то c 192.168.1.5, то вообще ничего никуда не идёт. нюхаю tcpdump-ом внешний интерфейс, вижу мои покеты, но почему-то идушие с 111.222.333.555. при этом также коунтеры в строках 100 и 300 растут в соотношении 1 к 3, т.е. например в 100 - 3 в 300 - 9.
где собака порылась?

Содержание

Недопонимание с IPFW !,DukeArtem, 18:54 , 13-Сен-05
- Недопонимание с IPFW !,Vanger13, 08:32 , 14-Сен-05
  - Недопонимание с IPFW !,Blackmore, 15:47 , 14-Сен-05

Сообщения в этом обсуждении

"Недопонимание с IPFW !"
Отправлено DukeArtem , 13-Сен-05 18:54

>стоит FreeBSD 5.4, на внешнем интерфейсе два IP, подняты два ната. пытаюсь
>разделить страфик на эти два ната
>100 divert 8668 tcp from 192.168.1.5 to any via rl0
>200 divert 8668 tcp from any to 111.222.333.444 via rl0
>300 divert 8669 tcp from not 192.168.1.5 to any via rl0
>400 divert 8669 tcp from any to 111.222.333.555 via rl0
>где 111.222.333.444 и 111.222.333.555 адреса, соотвествующие портам
У ipfw есть особенность,если он нашёл совпадание он дальше не просматривает (фитча :)), у ipfw2 и pf - эта особенность "исправленна".

"Недопонимание с IPFW !"
Отправлено Vanger13 , 14-Сен-05 08:32

>У ipfw есть особенность,если он нашёл совпадание он дальше не просматривает (фитча
>:)), у ipfw2 и pf - эта особенность "исправленна".
стоило вчера вечером глотнуть пивка, как сразу всё стало понятно :)
дело всё в том что пройдя первый диверт адрес отправителя у пакета становиться 111.222.333.444, поэтому он с лёгкостью проваливается во второй диверт :) нужно просто поменять их местами.
Истина где-то рядом (с) :)))))

"Недопонимание с IPFW !"
Отправлено Blackmore , 14-Сен-05 15:47

>>У ipfw есть особенность,если он нашёл совпадание он дальше не просматривает (фитча
>>:)), у ipfw2 и pf - эта особенность "исправленна".
>
>стоило вчера вечером глотнуть пивка, как сразу всё стало понятно :)
>дело всё в том что пройдя первый диверт адрес отправителя у пакета
>становиться 111.222.333.444, поэтому он с лёгкостью проваливается во второй диверт :)
>нужно просто поменять их местами.
>
>Истина где-то рядом (с) :)))))

Я всегда знал что пиво полезно админам как начинающим так и кончающим ... :)