Slawa Olhovchenkov wrote: > On Tue, Feb 21, 2012 at 04:01:26PM +0400, Constantin Stefanov wrote: > >> Slawa Olhovchenkov wrote: >>> On Tue, Feb 21, 2012 at 03:39:11PM +0400, Constantin Stefanov wrote: >>> >>>>> ну по твоим словам PBR полюбому, поскольку не все натишь. >>>>> смысл -- что бы у NAT было два интерфейса для работы. >>>> Ну то есть с моей схемой разница только в том, что искусственно >>>> появляется пара интерфейсов (внутренний и внешний), на которых работает >>>> NAT, а все остальные элементы конструкции практически те же. >>>> >>>> Может, так правила ipfw будут чуть прозрачнее, но больших выгод я, если >>>> честно, не вижу. NAT все равно работает, только у него входящий и >>> >>> изоляция (отсутсвие прямого доступа из LAN) к NAT. >> Гм. Это аргумент. Можно это, конечно, и при помощи ipfw сделать, но так >> изящнее. >> >>>> выходящий интерфейсы одни и те же. Если б так от PBR можно было на >>>> выходе избавиться, тогда да, а так - какой смысл? Хотя не исключаю, что >>>> я чего-то не замечаю. >>> >>> на выходе? на каком выходе? тут вроде только на входе (из LAN). >> Ну, для NAT пакеты нужно в одну сторону запихивать на выходящем >> интерфейсе (LAN-мир), а в другую - не входящем. Они могут быть одним и >> тем же, он направление пакета смотрит. > > в одну сторону PBR нужен, в другую сторону -- нет. > или ты о чем? А о том, что при "стандартной" схеме организации nat есть пара интерфейсов, один смотрит в LAN, другой - в мир. И пакеты для nat ловятся только на одном из этих интерфейсов. А в моем случае эти два интерфейса "схлопнуты" в один, что вызывает некоторое усложнение правил ipfw, с чего тред и начался. А PBR в любом случае нужен только на пути от private-адресов в мир.
-- Константин Стефанов Эрос псевдоним взял Порнос
