ip firewall kerdes

1997. Aug. 26., K, 16:44:10 CEST

Hali

szoval a kerdesem konkretan a netbsd packet filter-era vonatkozik, 
de van egy ennel altalanosabb, mindenfele unixra vonatkozo resze is.

azt irja a netbsd ipf(5) man page, hogy meg lehet azt csinalni,
hogy az adott interface-en bejovo csomagot, ha megfelel a
szurofelteteleknek egybol betenni egy masik interface kimeno queue-jaba,
es igy kihagyni a kernel belso dolgait (es ez persze nem csak szep de
gyorsit is)
...
to   causes the packet to be moved to the outbound queue
     on the specified interface. This can be used to
     circumvent kernel routing decisions, and even to
     bypass the rest of the kernel processing of the
     packet (if applied to an inbounf rule). It is thus
     possible to construct a firewall that behaves
     transparently, like a filtering hub or switch,
     rather than a router.
....

ez nekem tok jo lenne, az egyetlen kerdesem, hogy az arp tablak hogyan
neznek ki ebben az esetben illetve meg lehet-e ezt ugy is csinalni, hogy
tenyleg transparens legyen a dolog, vagyis egyik ethernet interface-nek
sincs ip cime.
Kb igy valahogy:

Host A          Transparent FW       Host B
------          --------------       ------
|    | ---------|            |-------|    |
______          ______________       ______

Ez esetben en ugy csinalnam ranezesre, hogy a FW azt hirdeti kifele (A
fele), hogy a B-nek meno csomagokat keretik neki adni, vagyis amikor A
akar kuldeni egy csomagot B-nek, csinal egy arp kerest, es B ip cimere
visszakapja a FW A fele nezo ethernetjenek a cimet. Erre persze egybol
odakuldi a csomagot a FW ethernetjere, aki a bejovo csomagot megvizsgalja,
majd elkuldi B-nek az ethernetjere.

Meg is probaltam bekonfigni, de nem megyen...

Csinalt mar valaki ilyet ? Mi a trukkje ?

Kosz

Gabor