в общем такое дело: машина FreeBSD 6.1 на которой стоит биллинговая система Abills. На машине поднят pptpd который, когда подключаешься к нему создает соединения по типу tun1,tun2, .... и так далее с динамическими айпи-адресами от 10.0.0.1 до 10.0.0.254. Так же на машине поднят NAT(машина работает как шлюз), то есть она маршрутизирует пакеты с виртуальных интерфейсов tun1,tun2,... на интерфейс tun0 -который и есть выход в инет. Проблема в том, что помимо маршрутизации на эти разрешенные интерфейсы, НАТ маршрутизирует и на интерфейс rl1 который как раз смотрит в сеть. Нужно заблокировать трафик с интерфейса tun0 на интерфейс rl1, но таким образом чтобы rl1 был доступен для системы чтобы могли подключаться виртуальные интерфейсы tun1,tum2 и т.д.вот что на данный момент у меня в правилах файрвола:
# ipfw list
00020 deny ip from 192.168.0.0/24 to any in via tun0
---
здесь еще находятся пайпы которые создают tun интерфейсы, я их удалил за ненадобностью
---
65000 divert 8668 ip from any to any via tun0
65535 allow ip from any to anyвот для наглядности покажу ifconfig:
# ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
inet6 fe80::2e0:4cff:fe00:d50f%rl0 prefixlen 64 scopeid 0x1
inet 192.168.1.65 netmask 0xffffff00 broadcast 192.168.1.255
ether 00:e0:4c:00:d5:0f
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
inet6 fe80::2e0:4cff:fe00:da79%rl1 prefixlen 64 scopeid 0x2
inet 192.168.0.13 netmask 0xffffff00 broadcast 192.168.0.255
ether 00:e0:4c:00:da:79
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1492
inet6 fe80::2e0:4cff:fe00:d50f%tun0 prefixlen 64 scopeid 0x5
inet xxx.xxx.xxx.xxx --> xxx.xxx.xxx.xxx netmask 0xffffffff
Opened by PID 1951
tun1: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1460
inet6 fe80::2e0:4cff:fe00:d50f%tun1 prefixlen 64 scopeid 0x6
inet 192.168.0.13 --> 10.1.0.238 netmask 0xffffffff
Opened by PID 43621
tun2: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1460
inet6 fe80::2e0:4cff:fe00:d50f%tun2 prefixlen 64 scopeid 0x7
inet 192.168.0.13 --> 10.1.0.94 netmask 0xffffffff
Opened by PID 42428
tun3: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1460
inet6 fe80::2e0:4cff:fe00:d50f%tun3 prefixlen 64 scopeid 0x8
inet 192.168.0.13 --> 10.1.0.43 netmask 0xffffffff
Opened by PID 37597
tun4: flags=8010<POINTOPOINT,MULTICAST> mtu 1500
inet6 fe80::2e0:4cff:fe00:d50f%tun4 prefixlen 64 scopeid 0x9
tun5: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1460
inet6 fe80::2e0:4cff:fe00:d50f%tun5 prefixlen 64 scopeid 0xa
inet 192.168.0.13 --> 10.1.0.245 netmask 0xffffffff
Opened by PID 37015
tun6: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1460
inet6 fe80::2e0:4cff:fe00:d50f%tun6 prefixlen 64 scopeid 0xb
inet 192.168.0.13 --> 10.1.0.93 netmask 0xffffffff
Opened by PID 38520
и так далее.что можно прописать в правилах файрвола чтобы заблокировать трафик между интерфейсом tun0 и rl1 ?
>вот что на данный момент у меня в правилах файрвола:
># ipfw list
>00020 deny ip from 192.168.0.0/24 to any in via tun0
>---
>здесь еще находятся пайпы которые создают tun интерфейсы, я их удалил за
>ненадобностьюman dummynet && man ipfw
>что можно прописать в правилах файрвола чтобы заблокировать трафик между интерфейсом tun0
>и rl1 ?и еще раз RTFM
Прежде чем спрашивать хоть бы доки почитал.