|
2.5, mc_ (?), 10:39, 10/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
Как производили замеры, насколько быстрее.
Нигде не встречал упоминаний что nat на pf более быстрый чем в ipfw
| |
|
1.4, cvsup (ok), 10:39, 10/02/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
непонятно, для кого предназначена эта статья с уже легендарными ошибками, кочующими от автора к автору; и чем это лучше оригинала в man ipfw(8)
| |
1.6, stasav (??), 10:57, 10/02/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
2 mc_ Делал замеры в своё время.
Насчет упоминаний - Посмотри как работает нат в ifpw и нат в pf, вопросы отпадут.
| |
1.8, reZon (?), 11:49, 10/02/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
И какие ошибки ну кроме CFLAGS+= -DIPFIREWALL_NAT?
Как раз так все работает и сделанно по ману ipfw.
| |
|
2.9, grayich (ok), 12:17, 10/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
>ipfw nat 123 config ip 192.168.1.132 log same_ports \
>
># пробрасываю все что приходит на порт 9999 на тот же порт внутренней машины
># как вариант можно указать -redirect_port tcp 192.168.4.86:9999 192.168.1.132:9999
>redirect_port tcp 192.168.4.86:9999 9999
помоему это дело не обработается верно, если есть возможность лучше присать в 1 строчку без переносов с помощью " \" и уж темболее не вставляя комментариев после переноса
и еще из примера можно исключить удаление nat 122 так как он не используется.
з.ы.
можно ли удалить все наты одной командой?
| |
|
3.11, reZon (?), 12:29, 10/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
Да и согласен с комментом после переноса конечно я лопухнулся =(
А вообще написал все это по той причине что по этому делу много вопросов но нет практически никаких ответов...
Поэтому курил часть мана ipfw по нат... очень долго... И решил что может это хоть кому-то облегчит жизнь... то это гуд.
| |
|
|
1.10, reZon (?), 12:24, 10/02/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Удалить все наты одной командой нельзя, по крайней мере у меня не получилось.
Отрабатывает все верно, с переносами легче просматривать если пробросок много.
Комменты это я конечно погорячился, писал только для заметки их.
| |
|
|
3.15, grayich (ok), 13:56, 10/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
>>ipfw nat flush
>
>Неа, не работает.
вообщето работает и очень хорошо работает, особенно для тех кто удаленно сидит... сносит все правила, тоже что и ipfw flush
| |
|
4.16, reZon (?), 14:01, 10/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
Ню =) Я же имел ввиду что для ната не работает =)
Все правила ната на месте =)
| |
|
|
|
|
2.18, reZon (?), 16:34, 10/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
>ipfw default_to_accept и никаких проблем.
А теперь поясни пожалуйста свою мысль...
| |
|
1.19, stasav (??), 05:52, 11/02/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
ipfw default_to_accept, опция ядра. Смотри man или в examples, как это работает.
| |
|
2.22, reZon (?), 11:03, 11/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
Я просил пояснить каких таких проблем не будет?
Мне не нужно все разрешать всё, последнее правило у меня всегда deny from any to any.
Отрытый файрвол не лишает необходимости прописывать то что я написал в заметке.
| |
|
1.21, BoOgatti (?), 09:58, 11/02/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Зачем для кернель ната опция ipdivert? Зачем флаг в мэйк.конфе?
По поводу удаления всех правил ната: такой команды я не нашёл (ipfw nat del all и прочие похожие комбинации не канают =/ )
Пробовал юзать кернель нат, однако столкнулся с рядом проблем (сейчас уже не помню каких) и в итоге вернулся к натд. Для шлюза не обслуживающего несколько тыщ клинтосов его хватает за глаза и за уши.
| |
1.23, Гзкр (?), 14:03, 11/02/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
ядро можно не пересобирать
kldload ipfw
kldload ipfw_nat
kldload ipdivert
| |
|
2.25, reZon (?), 15:05, 11/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
>ядро можно не пересобирать
>kldload ipfw
>kldload ipfw_nat
>kldload ipdivert
Замечательно! Конечно можно ничего не пересобирать, только вот надежнее все же вкомпилить в ядро и быстрее...
Кроме того пересборка ядра замечательная возможность избавится от всего лишнего....
| |
|
3.26, Добрый Дохтур (?), 15:42, 11/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
>только вот надежнее все же вкомпилить в ядро и быстрее...
1)и как это связано с надежностью?
2)не быстрее.
| |
|
|
1.24, anon (?), 14:41, 11/02/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
свои 20 копеек внесу
make kernel KERNCONF=Yourkernel
так было бы проще :)
| |
|
2.29, grayich (ok), 12:12, 12/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
>легче rinetd использовать
какой смысл усложнять систему, если НАТ всеравно используется.. Другое дело если НАТ нет.
| |
|
1.30, doorsfan (?), 12:28, 12/02/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
а как организовать доступ внутренних клиентов к внешний_ИП:проброшенный_порт, например, проброшен 80й порт на хостерную машину, пользователь набирает http://firm.domain и открывает сайт фирмы. Я кроме решения в виде фейковой зоны для локальных пользователей ничего не придумал
| |
1.32, stasav (??), 11:53, 14/02/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Ребята уже и забыли что статья про портмаппинг а не nat для чайникофф =)
| |
|