Hi! On Fri, Apr 30, 2004 at 08:27:23PM +0300, Valentin Nechayev writes:
ipfw add allow all from any to me in recv fxp0 ipfw add allow all from 192.168.5.220 to any in recv fxp0 ipfw add deny all from any to any in recv fxp0 ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ я не могу так делать. на этой же тачке до фига других сервисов крутится для серой сетки.
Это правило закрывает forward из внутренней сетки вовне для всех, кроме явно разрешенного в предыдущем правиле IP. Как раз то, что в iptables попадает в FORWARD, потому что аналог INPUT отработан в первом правиле (которое тоже можно заменить на более подробное описание, что нужно разрешить, а что запретить).
Проще всего форвард в ipfw определяется конструкцией "out recv any" (но не наоборот, потому что на фазе in ещё неизвестно куда пакет пойдёт).
А разве пакеты, прошедшие через natd, попадут под это правило? Они ведь AFAIU локально сгенерированными получаются.
Сделав `ipfw add NNN skipto MMM ip from any to any out recv any' - получим аналог цепочки forward начинающийся с правила номер MMM.
-- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message