 ipfw и правила для сетей с масками,  lond, 24-Окт-06, 11:18 [смотреть все]всем привет.
имею такой впрос:
есть сетка 192.16.8.0.0/24 и шлюз с натом.
Есть правила для ipfw
fxp0-локалка, fxp1 - инет.
ipfw 1 divert ...
ipfw add 2 deny ip from 192.168.0.0/16 to any via fxp0
ipfw add 3 deny ip from 192.168.0.0/24 to any via fxp1
ipfw add 4 allow ip from 192.168.0.0/24 to any
по ipfw show смотрю статистику.
когда машина из локалки (192.168.0.10 с маской 24) посылает пакеты (напр. инет шерстим), то пакеты обрываются на правиле 2. почему? ведь правило для маски /16, а у меня сеть - /24...
убираем правило 2 и пробуем заново. теперь пакеты обрываются на правиле 3. а почему пакеты из локалки оказываются на внешнем интерфейсе (ведь даже в дефолтном rc.firewall есть блок "Stop RFC1918 nets on the outside interface")? если и это правило убрать, все нормально работает, все натится... в смятении я... |
- ipfw и правила для сетей с масками, muhlik, 11:41 , 24-Окт-06 (1)
- ipfw и правила для сетей с масками, lond, 13:55 , 24-Окт-06 (2)
>>когда машина из локалки (192.168.0.10 с маской 24) посылает пакеты (напр. инет
>>шерстим), то пакеты обрываются на правиле 2. почему? ведь правило для
>>маски /16, а у меня сеть - /24...
>А вы думаете что в IP пакете есть маска источника? :-)))
зачм же тогда маски в правилах указываются?>>убираем правило 2 и пробуем заново. теперь пакеты обрываются на правиле 3.
>>а почему пакеты из локалки оказываются на внешнем интерфейсе (ведь даже
>Ну если у вас в rc.conf
>gateway_enable="YES"
>то это нормальное поведение пакетов
чем обусловлено? объясните пжлст если не лень.
|
Версия для распечатки
