[BSD] ipfw es natd

Ádám Szilveszter dr. adam at nhh.hu
2005. Ápr. 28., Cs, 08:24:32 CEST


Szia!

> FreeBSD 4.11 stable
> Egy chello-s hálózatra egy gép rl1 kártyája csatlakozik
> rl0 kátya 192.168.0.0 hálózat felé netmask 255.255.255.248
> tx0 kátya 192.168.6.0 hálózat felé netmask 255.255.255.248
> 
> a két kártyára eltérő sávszélesség korlátozást szeretnék beállítani.
> 
> rc.conf részlet:
> gateway_enable="YES"
> natd_enable="YES"
> natd_interface="rl1"
> natd_flags="-dynamic"
> firewall_enable="YES"
> firewall_type="OPEN"
> 
> ipfw show kimenete szabályok betöltése előtt:
> 00050 divert 8668 ip from any to any via rl1
> 00100 allow ip from any to any via lo0
> 00200 deny ip from any to 127.0.0.0/8
> 00300 deny ip from 127.0.0.0/8 to any
> 65000 allow ip from any to any
> 65535 deny ip from any to any
> 
> A man szerint a szabályokat a divert után praktikus helyezni, ezért a 
> sorszámot 50 fölé tettem.
> Az alábbi szabályt szeretném ha működne:
> ipfw add 68 pipe 3 ip from 192.168.6.0/29 to any out via rl1
> ipfw add 69 pipe 4 ip from any to 192.168.6.0/29 in via rl1
> ipfw add 78 pipe 5 ip from 192.168.0.0/29 to any out via rl1
> ipfw add 79 pipe 6 ip from any to 192.168.0.0/29 in via rl1
> ipfw pipe 3 config mask src-ip 0x000000f8 bw 300Kbit/s queue 20Kbytes
> ipfw pipe 4 config mask dst-ip 0x000000f8 bw 300Kbit/s queue 20Kbytes
> ipfw pipe 5 config mask src-ip 0x000000f8 bw 500Kbit/s queue 20Kbytes
> ipfw pipe 6 config mask dst-ip 0x000000f8 bw 500Kbit/s queue 20Kbytes
> 
> Meglepetésemre ipfw show forgalmat csak a 4-es és 6-os pipe-on mutat!
> ADSL esetében, amikor a nat-ot a ppp csinálja, a tun0-on keresztül ez a 
> szabály tökéletesen működik.
> Mit bambultam el?

Szerintem a gond a sorrendben keresendo. Vagyis, a 3-as es az 5-os pipe-re 
nem kerul semmi, mert mire a kiertekeles odaer, addigra az adott 
feltetelnek megfelelo csomag mar nincs. A 192.168.x.x cimekrol kimeno 
csomag az rl1-en NAT utan mar nem lehet, (a cim mar at van irva) ezert a 
beerkezo interface-k nevet probalnam irni persze akkor a keyword "in" mert 
azokon befele jon a csomag.

De persze lehet, hogy tevedek.

Sz.



További információk a(z) BSD levelezőlistáról