Архив форумов ЦИТФорума

[Dmitry.Karpov]

У меня в начале всех правил стоИт
ipfw add 50 divert natd all from any to any via ${natd_interface}

Если я включу правило
ipfw add 900 deny tcp from any to ${внешний_ip-номер} 3128
или
ipfw add 900 deny tcp from any to any 3128 via ${natd_interface}
(я не хочу, чтобы мой Squid "щупали" извне), то будет ли оно работать, или 50 divert прекратит просмотр списка правил? Веть natd не должен обрабатывать соединения извне...


По хорошему надо бы удалить этот вопрос как дурацкий, но пусть останется как памятник тому, что сначала надо читать доки, а потом сюда спрашивать. В комментариях в /etc/rc.firewall ясно написано, что после трансляции каждый пакет будет проходить набор правил дальше (уже будучи оттранслированным).

А тот вопрос, на который отвечал я, был совсем другой: "Будут ли маскарадиться пакеты, идущие от самОй машины?". В этом случае никакой разницы нет, т.к. IP-номер не меняется; вероятно, автора маскарадинга предусматривают этот случай.
_________________
Благословен Бог, сотворивший меня сисадмином!

[TechNoir]

Со всей ответственностью заявляю (лично испытывал) что:
после того как отдать пакет на растерзание natd, он (пакет) после изменения адреса отправителя будет далее проверятся по списку правил.

Как в самом начале моей FreeBSD'шной карьеры здесь в форуме я спрашивал проверяется ли пакет дальше или нет. Ты ответил что-то в этом роде: Что мол это как-бы не принципиально, что FreeBSD, как конструктор LEGO всеравно работать будет, т.е. как его не настрой.
Меня твой ответ немножко удивил. (Ты для меня авторитет в некотором смысле.)

Тебе просто нужно представить пакет движущимся далее по цепочке с IP-адресом отправителя, равным IP адресу NATD_INTEFACE'а.
_________________
Vive la Russie!