Hi Alexander! On Sun, 22 Dec 2002, Alexander Yeremenko wrote:

...

...

I have a box, running as router. Network A.B.C/Z is connected via ppp0 router:/rc.firewall : ipfw add 10 connt all from any to any via ppp0 ipfw add 15 connt all from any to A.B.C/Z ipfw add 15 connt all from A.B.C/Z to any Rules 10 and 15 gives absolutely different results. What's wrong ?

Пакет для A.B.C/Z правилами 15 считается 2 раза, когда он входит в роутер и когда выходит из него. А правилами 10 ?

А правилом 10 пакет к и от A.B.C/Z считается только 1 раз, так как через ppp0 он проходит только 1 раз (in или out).

Вообще у меня там стоит net.inet.ip.fw.one_pass=0

Это к делу не имеет отношения. net.inet.ip.fw.one_pass: 1 When set, the packet exiting from the dummynet(4) pipe is not passed though the firewall again. Otherwise, after a pipe action, the packet is reinjected into the firewall at the next rule.

Вроде дожно ж бы спасать ?

...

Правильно написать так: ipfw add 15 connt all from any to A.B.C/Z out xmit ppp0 ipfw add 15 connt all from A.B.C/Z to any in recv ppp0

recv/xmit не могу. Задача в том, чтобы построить счетчик без привязки к интерфейсам. Ибо в случаях перелогиниваний iface может меняться. А мне надоело патчить каждую очередную версию на предмет static_pppd

Просто in/out без recv/xmit тоже будет работать. Вместо ppp0 можно писать IP, локально назначаемый на интерфейс, если он для всех ppp* разный. ipfw add 15 count all from any to A.B.C/Z out xmit 10.0.0.1 ipfw add 15 connt all from A.B.C/Z to any in recv 10.0.0.1 -- Andrey Lakhno, land-ripe =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message