https://slinkov.ru/openforum/vsluhforumID1/77683.html Шлюз на FreeBSD 6.1-R.<br>Используется PF для фильтрации, NAT и прозрачного прокси.<br>Клиенты из локалки для выхода инет подключаются по PPTP (MPD).<br>Нужно задействовать IPFW для шейпинга (pipe).<br>Но тут - засада! Если для пользователя прописаны в IPFW правила<br>pipe 1 ip from any to any via ng1 in<br>pipe 1 ip from any to any via ng1 out,<br>то в инет он доступа не имеет.<br>Такое впечатление, что после IPFW pipe пакеты не попадают к PF.<br>Без шейпинга и включённом IPFW с единственным правилом<br>allow all from any to any<br>всё работает.<br>Оба фильтра вкомпилены в ядро.<br><br>У кого работает такая связка?<br> https://slinkov.ru/openforum/vsluhforumID1/77683.html#5 Mon, 10 Dec 2007 19:24:37 GMT &gt;[оверквотинг удален]<br>&gt;Для rdr на прокси надо на какое-то устройство давать права + squid <br>&gt;собирать с поддержкой pf. <br>&gt;Это что бы squid именно работал. А так pf нормально работает - <br>&gt;у Мну на нем проброс портов был, пока ип-ки не купил <br>&gt;:) <br>&gt;Еще можеш определить какой именно фаервол будет первым для приема/отправки работать pf&#124;&#124;ipfw <br>&gt;<br>&gt;<br>&gt;ЗЫ: <br>&gt;У Мну работал ipfw pipe+ipfw заворотн на squid+pf rdr(для проброса портов) <br><br>Squid собран с поддержкой PF. А вот rdr на прокси работает только для тех клиентов, для которых нет правил pipe в ipfw. Если убрать rdr, то у всех всё работает через nat+pf и даже с pipe.<br>Что касается очереди фильтров, то я уже пробовал оба в ядре и PF как модуль.<br> https://slinkov.ru/openforum/vsluhforumID1/77683.html#4 Mon, 10 Dec 2007 18:31:31 GMT &gt;&gt;&gt;Разве никто не использует на одной машине PF и IPFW одновременно? <br>&gt;&gt;<br>&gt;&gt;А `ipfw pipe 1 config ...` делать кто будет? :) <br>&gt;<br>&gt;Это тоже есть. :) <br>&gt;<br>&gt;Проблема в том, что при включённом pipe не срабатывает правило redirect в <br>&gt;pf.conf на прокси. <br>&gt;Короче говоря, pipe (IPFW) и rdr (PF) вместе работать не хотят :( <br>&gt;<br><br>Смотри в man ipfw<br>ipfw+pf работают нормально.<br>Для rdr на прокси надо на какое-то устройство давать права + squid собирать с поддержкой pf.<br>Это что бы squid именно работал. А так pf нормально работает - у Мну на нем проброс портов был, пока ип-ки не купил :)<br>Еще можеш определить какой именно фаервол будет первым для приема/отправки работать pf&#124;&#124;ipfw<br><br>ЗЫ:<br>У Мну работал ipfw pipe+ipfw заворотн на squid+pf rdr(для проброса портов)<br><br> https://slinkov.ru/openforum/vsluhforumID1/77683.html#3 Mon, 10 Dec 2007 17:37:33 GMT &gt;&gt;Разве никто не использует на одной машине PF и IPFW одновременно? <br>&gt;<br>&gt;А `ipfw pipe 1 config ...` делать кто будет? :) <br><br>Это тоже есть. :)<br><br>Проблема в том, что при включённом pipe не срабатывает правило redirect в pf.conf на прокси.<br>Короче говоря, pipe (IPFW) и rdr (PF) вместе работать не хотят :(<br> https://slinkov.ru/openforum/vsluhforumID1/77683.html#2 Mon, 10 Dec 2007 10:29:54 GMT &gt;Разве никто не использует на одной машине PF и IPFW одновременно? <br><br>А `ipfw pipe 1 config ...` делать кто будет? :)<br> https://slinkov.ru/openforum/vsluhforumID1/77683.html#1 Sun, 09 Dec 2007 18:25:29 GMT Разве никто не использует на одной машине PF и IPFW одновременно?<br>