On 27.05.2013 17:00, Alex Khrenov wrote: >> PI-сеть это же реальные адреса, зачем их трафик вообще пропускать >> через NAT? Пусть идёт просто по роутингу внутрь. > > По полиси внутри локалки должны быть только серые адреса.
Такая полиси неразумна хотя бы потому, что она нагружает подсистему NAT совершенно ненужной работой и понижает общую производительность железа на пустом месте. > Ну и тут как бы вопрос не в организации процесса, а в возможности ipfw делать > то что > хочется и что впринципе логично. > Если я пишу в правиле "ipfw nat 1 ip from any to any via ext0", то я > жду, что весь трафик будет подвержен опциям, прописанным в конфиге этого > самого ната. А на практике получается что редирект опции применяются > выборочно. Опции применяются так, как задумано. А задумано было авторами libalias лет 15 назад или около того так: есть "основной публичный IP" и работа libalias идёт с ним. По дефолту это первый адрес интерфейса, но можно и дефолт сменить, и редиректы использовать не только для основного alias address.
