Nilson escreveu: > Isso é um efeito bem comum, e em geral se deve a sysctl > net.inet.ip.fw.one_pass estar setada como 0, onde nesse caso > depois do pacote bater na regra do pipe ele é REINJETADO no > firewall para que possa sofrer outros eventuais efeitos que as > regras subsequentes poderiam fazer nele. Por isso, acho bem > mais prático colocar os pipes no final do firewall, onde no caso > do packet levar um deny na orelha ele nem chegaria no pipe. > > Mas enfim, você disse no primeiro email que estas fazendo o > NAT pelo PF, então supondo que você também esteja usando > o PF como firewall primário da máquina, e IPFW apenas para > a limitação de banda, acredito que o one_pass=1 solucionará > esse problema. > Outra dica que lhe dou é usar primeiro a regra do pipe config, > assim ele (o pipe) já estará definido quando o IPFW mandar os > pacotes para dentro desse pipe
Nilson, A sysctl one_pass já estava como 1. Vou fazer alguns testes e publico na lista. -- Welkson Renny de Medeiros Desenvolvimento / Gerência de Redes Focus Automação Comercial FreeBSD Community Member ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
