Hi! On Fri, Apr 30, 2004 at 03:51:24PM +0300, Gregory Edigarov writes:
возможно ли средствами IPFW организовать подобие FORWARD chain v linux?
как?
а то есть такая конструкция: ipfw add divert natd all from 192.168.5.220 to any out xmit tun0 ipfw add divert natd all from any to any in recv tun0 ipfw add 1000 allow all from any to any
т.е. выход в инет открыт через nat только одной машине теперь эту конструкцию надо обойти. можно, конечно, сделать ipfw add skipto 1100 all from not 192.168.5.220.. но тогда я пропущу allow all from any to any, а оно здесь, как я понимаю неоходимо. есть ли еще какие-то методы решить задачу?
Можно перекрывать на внутреннем интерфейсе все, кроме разрешенного. У тебя tun0, как я понял, внешний. Пусть внутренний будет fxp0. Тогда добавь ipfw add allow all from any to me in recv fxp0 ipfw add allow all from 192.168.5.220 to any in recv fxp0 ipfw add deny all from any to any in recv fxp0 Но IMHO правильнее всего натить отдельным IP, чтобы отличать собственный трафик от транзитного, по-разному из фильтровать, и чтобы собственный трафик не пропускать через natd. -- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message