https://www.opennet.me/openforum/vsluhforumID3/46550.html O пакетном фильтре (PF) написано довольно много статей. Вот и я хочу предложить свою реализацию Интернет-шлюза с<br>использованием PF. Раздача Интернета для локальной сети происходит через NAT и основана на Packet Tagging. Плюсом этого<br>метода является то что упрощается настройка правил для FTP (ftp-proxy не используется), как для клиентов за шлюзом, так и для<br>возможной публикации "внутреннего" ftp-сервера в мир.<br><br>Для простоты приведу пример с 1 внешним и 1 внутренним интерфейсом. На шлюзе также запущен DNS-сервер. Пользователям<br>локальной сети разрешен доступ на все порты без исключений по протоколам TCP, UDP, из ICMP разрешен только ping. В качестве<br>ОС выступает FreeBSD7.0<br><br>Для начала определим интерфейсы с помощью макросов<br><br> ext_if="rl0"<br> int_if="sk1"<br><br> dns="ААА.ААА.ААА.ААА"<br> lan="192.168.1.0/24"<br><br> table &lt;no_if&gt; {BBB.BBB.BBB.BBB, 192.168.1.1, 127.0.0.1} persist<br><br> set skip on lo<br> set loginterface rl0<br> set ruleset-optimization basic<br> set block-policy return<br> scrub in al https://www.opennet.me/openforum/vsluhforumID3/46550.html#33 Mon, 07 Jun 2010 21:52:16 GMT &gt;http://ezine.daemonnews.org/200406/mpd.html <br>&gt;<br>&gt;http://fiery-fenix.kiev.ua/archives/17-FreeBSD_i_GRE._Proksirovanie_na_odin_VPN_server..html <br>&gt;<br>&gt;оно? <br><br>я же написал - опенок. <br>где там ipfw в базе, покажи<br> https://www.opennet.me/openforum/vsluhforumID3/46550.html#32 Mon, 03 Aug 2009 11:32:58 GMT &gt;[оверквотинг удален]<br>&gt;Path MTU discovery works by setting the DF (Don't Fragment) option bit <br>&gt;in the IP headers of outgoing packets. Then, any device along <br>&gt;the path whose MTU is smaller than the packet will drop <br>&gt;it, and send back an ICMP "Fragmentation Needed" (Type 3, Code <br>&gt;4) message containing its MTU, allowing the source host to reduce <br>&gt;its path MTU appropriately. The process repeats until the MTU is <br>&gt;small enough to traverse the entire path without fragmentation. <br>&gt;<br>&gt;Тут либо ты на en не понимаеш, либо не понимаеш принципы работы <br>&gt;keep state в PF... <br><br>Ну и как это будет работать, если "из ICMP разрешен только ping"?<br> https://www.opennet.me/openforum/vsluhforumID3/46550.html#31 Sat, 01 Aug 2009 13:27:34 GMT Это ты читай, умник...<br>http://en.wikipedia.org/wiki/Path_MTU_discovery<br>Там же четко написано<br>Path MTU discovery works by setting the DF (Don't Fragment) option bit in the IP headers of outgoing packets. Then, any device along the path whose MTU is smaller than the packet will drop it, and send back an ICMP "Fragmentation Needed" (Type 3, Code 4) message containing its MTU, allowing the source host to reduce its path MTU appropriately. The process repeats until the MTU is small enough to traverse the entire path without fragmentation.<br><br>Тут либо ты на en не понимаеш, либо не понимаеш принципы работы keep state в PF...<br> https://www.opennet.me/openforum/vsluhforumID3/46550.html#30 Thu, 05 Feb 2009 23:01:18 GMT Не вижу смысла делать два тега LAN_INET_TCP_UDP и LAN_INET_ICMP.<br> https://www.opennet.me/openforum/vsluhforumID3/46550.html#29 Fri, 26 Dec 2008 15:02:40 GMT на трекинге соединеии (openBSD);<br>больше 1 коннекта не проходит;<br><br><br>Так как все таки с UPnp ?<br> https://www.opennet.me/openforum/vsluhforumID3/46550.html#28 Tue, 16 Dec 2008 08:33:49 GMT PMTU Discover<br>почитай, умник<br> https://www.opennet.me/openforum/vsluhforumID3/46550.html#27 Mon, 15 Dec 2008 09:13:01 GMT А на чем споткнулись, когда pptp из серой сети хотели пропустить?<br> https://www.opennet.me/openforum/vsluhforumID3/46550.html#26 Sun, 14 Dec 2008 14:56:46 GMT &gt;"из ICMP разрешен только ping" <br>&gt;Руки за такое отрывать <br><br>Да что ты говоришь.<br>Вот таких так ты, таким да отрывать нада))<br> https://www.opennet.me/openforum/vsluhforumID3/46550.html#25 Sun, 14 Dec 2008 11:28:27 GMT http://ezine.daemonnews.org/200406/mpd.html<br><br>http://fiery-fenix.kiev.ua/archives/17-FreeBSD_i_GRE._Proksirovanie_na_odin_VPN_server..html<br><br>оно?<br><br>