> Эта переменная влияет на правила nat так же как и на правила dummynet.
> И эти правила с переменной sysctl net.inet.ip.fw.one_pass=1 работать у вас не будут,
> хотя вы сказали, что "проверено".да, проверено, с natd действительно работает
каюсь, с nat проверить сейчас возможности нет, возможно завтра, самому интересно стало ))
по идее, и natd и nat используют libalias, да, kernel nat производительнее,
но в остальном.. да там даже синтаксис правил очень схож
к тому же, в
man ipfw | grep -A2 -B3 reinjected
говорится о пайпах и ничего не говорится о nat, выходит врёт, подлец? ))
я ж недаром привёл линк https://ctopmbi4.wordpress.com/2013/11/12/nat-one_pass/
у меня проверить достоверность этого заявления в данный момент нет
проверьте сами
> И еще вы ни разу не разбирались в том, о чем писал я.
это в чём же?
в первом посте https://www.opennet.ru/openforum/vsluhforumID1/96869.html#0
ерунда написана
$cmd 600 tcp from any to 10.1.10.12 25,443 in via em0 setup keep-state
непонятно, что делает это правило - где allow или deny ??
это правило вообще работать не будет
про https://www.opennet.ru/openforum/vsluhforumID1/96869.html#18
я уже писал - для чего нат вызывать 4 раза, когда можно обойтись 2-мя ??
да и правила там непонятны
> Секция для входящего трафика будет работать с параметром deny_in, если к конфигурации
> nat добавить параметр "redirect_port tcp 1.2.3.4:22 22 redirect_port tcp 1.2.3.4:80 80" и т.д...
> .. и не нужно будет портить структуру конфига
странный у нас диалог происходит
вот смотрите: я вам говорю, что дважды два - четыре
а вы мне отвечаете: нет, трижды пять - пятнадцать!
ну да, то что вы написали сработает, но вы тем самым в угоду сохранения deny_in
делаете проброс трафика предназначенного для сервисов самого шлюза!!
это моветон чистой воды, зачем так извращаться?
то есть представим себе следующее
---------------------- -------------------------------------------------- -------
| LAN 192.168.1.0/24 |---| 192.168.1.1/32 <=> fxp0 ROUTER <=> em0 X.X.X.X |---| WAN |
---------------------- -------------------------------------------------- -------
и вы делаете на 192.168.1.1/32 редирект для ssh и http трафика предназначенного для роутера!!
то есть для этого, тем самым, используете nat дважды - на in и out
можно обойтись без ната и отправить трафик для роутера напрямую
указанный адрес 1.2.3.4 в примере выше это, насколько я понимаю, внутренний адрес роутера
(в моём примере 192.168.1.1/32)
нет, ну, вероятно, можно гланды удалять и через задний проход,
но, думаю, что напрямую, через рот, оно как то удобнее будет
> Ограничение скорости можно даже организовать в обе стороны. Структура конфига об этом "кричит".
уж не знаю, кто там и что там кричит, однако, хочу заметить, что по большому счёту,
влиять мы можем на скорость только исходящую, на входящую увы..
не можем заставить удалённую сторону снизить скорость