On Tue, Feb 21, 2012 at 04:01:26PM +0400, Constantin Stefanov wrote: > Slawa Olhovchenkov wrote: > > On Tue, Feb 21, 2012 at 03:39:11PM +0400, Constantin Stefanov wrote: > > > >>> ну по твоим словам PBR полюбому, поскольку не все натишь. > >>> смысл -- что бы у NAT было два интерфейса для работы. > >> Ну то есть с моей схемой разница только в том, что искусственно > >> появляется пара интерфейсов (внутренний и внешний), на которых работает > >> NAT, а все остальные элементы конструкции практически те же. > >> > >> Может, так правила ipfw будут чуть прозрачнее, но больших выгод я, если > >> честно, не вижу. NAT все равно работает, только у него входящий и > > > > изоляция (отсутсвие прямого доступа из LAN) к NAT. > Гм. Это аргумент. Можно это, конечно, и при помощи ipfw сделать, но так > изящнее. > > >> выходящий интерфейсы одни и те же. Если б так от PBR можно было на > >> выходе избавиться, тогда да, а так - какой смысл? Хотя не исключаю, что > >> я чего-то не замечаю. > > > > на выходе? на каком выходе? тут вроде только на входе (из LAN). > Ну, для NAT пакеты нужно в одну сторону запихивать на выходящем > интерфейсе (LAN-мир), а в другую - не входящем. Они могут быть одним и > тем же, он направление пакета смотрит.
в одну сторону PBR нужен, в другую сторону -- нет. или ты о чем?
