Slawa Olhovchenkov wrote: > On Tue, Feb 21, 2012 at 03:39:11PM +0400, Constantin Stefanov wrote: > >>> ну по твоим словам PBR полюбому, поскольку не все натишь. >>> смысл -- что бы у NAT было два интерфейса для работы. >> Ну то есть с моей схемой разница только в том, что искусственно >> появляется пара интерфейсов (внутренний и внешний), на которых работает >> NAT, а все остальные элементы конструкции практически те же. >> >> Может, так правила ipfw будут чуть прозрачнее, но больших выгод я, если >> честно, не вижу. NAT все равно работает, только у него входящий и > > изоляция (отсутсвие прямого доступа из LAN) к NAT. Гм. Это аргумент. Можно это, конечно, и при помощи ipfw сделать, но так изящнее.
>> выходящий интерфейсы одни и те же. Если б так от PBR можно было на >> выходе избавиться, тогда да, а так - какой смысл? Хотя не исключаю, что >> я чего-то не замечаю. > > на выходе? на каком выходе? тут вроде только на входе (из LAN). Ну, для NAT пакеты нужно в одну сторону запихивать на выходящем интерфейсе (LAN-мир), а в другую - не входящем. Они могут быть одним и тем же, он направление пакета смотрит. -- Константин Стефанов The ONLY time you have too much fuel is when you're on fire.
