ipfw и правила для сетей с масками, lond, 24-Окт-06, 11:18 [смотреть все]всем привет. имею такой впрос: есть сетка 192.16.8.0.0/24 и шлюз с натом. Есть правила для ipfw fxp0-локалка, fxp1 - инет. ipfw 1 divert ... ipfw add 2 deny ip from 192.168.0.0/16 to any via fxp0 ipfw add 3 deny ip from 192.168.0.0/24 to any via fxp1 ipfw add 4 allow ip from 192.168.0.0/24 to any по ipfw show смотрю статистику. когда машина из локалки (192.168.0.10 с маской 24) посылает пакеты (напр. инет шерстим), то пакеты обрываются на правиле 2. почему? ведь правило для маски /16, а у меня сеть - /24... убираем правило 2 и пробуем заново. теперь пакеты обрываются на правиле 3. а почему пакеты из локалки оказываются на внешнем интерфейсе (ведь даже в дефолтном rc.firewall есть блок "Stop RFC1918 nets on the outside interface")? если и это правило убрать, все нормально работает, все натится... в смятении я... |
- ipfw и правила для сетей с масками, muhlik, 11:41 , 24-Окт-06 (1)
- ipfw и правила для сетей с масками, lond, 13:55 , 24-Окт-06 (2)
>>когда машина из локалки (192.168.0.10 с маской 24) посылает пакеты (напр. инет >>шерстим), то пакеты обрываются на правиле 2. почему? ведь правило для >>маски /16, а у меня сеть - /24... >А вы думаете что в IP пакете есть маска источника? :-))) зачм же тогда маски в правилах указываются?>>убираем правило 2 и пробуем заново. теперь пакеты обрываются на правиле 3. >>а почему пакеты из локалки оказываются на внешнем интерфейсе (ведь даже >Ну если у вас в rc.conf >gateway_enable="YES" >то это нормальное поведение пакетов чем обусловлено? объясните пжлст если не лень.
|