Miroslav Prýmek wrote:
[...]
Jenom pripominam, ze jsem mluvil o spojeni. ktere pochazi Z JAILU, takze
by melo prvne projit tap0 a potom fxp0 (kde se natuje).
V zaslanych pravidlech se neNATuje.
Mam trochu podezreni, ze nejak spatne chapu fungovani sitovyho stacku nebo co,
protoze jsem mel za to, ze kdyz jail nevidi IP toho fxp0 (to bylo v predchozim
mailu
zvyrazneny), tak primo z nej ani nemuze nic posilat. Jedina IP, kterou vidi,
je ta na tap0.
To, co se objevilo v logu, je podle me packet PO NATOVANI (proto je fxp0 jako
zdroj),
takze nejpravdepodobnejsi mi prijde, ze PF proste paket jdouci pres tap0 vubec
nevidi
(coz je mozna feature, nevim, proto se ptam :)
Kdyz se bavime o PF, tak bych doporucil rozlisovat od sebe vyrazy NAT
(natovani) a RDR (redirection / port forwarding). V terminologii PF se
kazde pouziva pro jiny smer, takze aby pak nedochazelo k nedorozumeni.
V uvedenych pravidlech NAT nikde neni (nebo aspon ja ji nevidim), je tam
jen RDR.
Jinak ano, PF preklada adresu na tom interface, ktery je uveden v
konfiguraci.
"Also be aware that since translation occurs before filtering, the
filter engine will see the translated packet with the translated IP
address and port as outlined in How NAT Works."
http://www.openbsd.org/faq/pf/nat.html#works
http://www.openbsd.org/faq/pf/rdr.html
Takze nez to budeme probirat dal - skutecne byla zaslana pravidla
kompletni? Mozna by nebylo od veci poslat vystup:
pfctl -nvf /etc/pf.conf
Nebo se podivat sam na vypis skutecne pracujicich pravidel
pfctl -s nat && pfctl -s rules && pfctl -s Interfaces -v
Mirek
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
