On 06/25/12 12:18, Lubomir Majersky:
Rozbor/popis za pravidlami
Zadne konkretni rady. Nevim zadnych problemech (na vlastnich strojich,
nebo ze bych o tom slysel od nekoho jineho).
Ktera pravidla se realne pouzivaji se da zjistit pomoci counteru, ktere
jsou s kazdym pravidlem spjaty.
Takze ja bych zacal kontrolou, zda konkretni problematicke toky tecou
pres ta pravidla, pres ktera ocekavas.
... out via ${pubif}
Jen na okraj - tenhle konstrukt podle vseho pouzivas pro "pakety
odchazejici ven". Pak by to ale melo byt 'out xmit ${pubif}'
Tak jak to mas se to uplatni i na pakety ktere prisly pres ${pubif}
(tedy "z venku") a konci vevnitr na jinem interface.
Sice to vypada, ze momentalen tam takovou situaci nemas, ale az jednou
zacnes nejakej vnejsi port forwardovat dovnitr, tak si na to urcite
nevzpomenes ...
No a na zaver este spomeniem rury 50 a 60, ktore vnimam ako PODRURY RURY
40. Myslim, ze su spravne zadefinovane, ale nie som si isty pravidlami
1030 a 1040, pretoze by som mal na na jednej strane napajat rury na
fronty a ja napajam ruru na ruru, ale zasa na druhej strane su rury 50 a
60 podrurami rury 40.
Takze z pravidel:
${fwcmd} add 1030 pipe 50 tcp from any to any 25,465 out via ${pubif}
${fwcmd} add 1040 pipe 60 tcp from any to not X.X.X.163 20,49152-65535 out via
${pubif}
${fwcmd} add 1050 queue 40 ip from 192.168.1.0/24 to not X.X.X.163 out via
${pubif}
se pro kazdy konkretni paket uplatni jen jedno. Pomineme-li uz shora
zminenou moznost, ze se pravidlo uplatni i pro pakety prichazejici pred
${pubif} a to v okamziku, kdy odchazeji dal pres nejaky jiny interface,
uplatnuji se vsechna pravidla pri prechodu paketu z kernelu do
vystupniho interface ${pubif}, uplatni se jen jedno, a to to, ktere
prvni splni podminku protokolu, zdrojove a cilove IP adresy.
Dan
--
FreeBSD mailing list ([email protected])
http://www.freebsd.cz/listserv/listinfo/users-l
