https://www.opennet.me/openforum/vsluhforumID3/84296.html Вадим Гончаров сообщил в своем блоге (http://nuclight.livejournal.com/130012.html) о начале работ над ipfw ng (http://wiki.freebsd.org/IpfwNg) - обновленной реализацией пакетного фильтра ipfw для FreeBSD.<br><br><br>Основные задачи проекта:<br><br><br>- Не переписывание всего ipfw с нуля, а улучшение и оптимизация текущей реализации;<br>- Введение поддержки множественных наборов правил (multiple rulesets - аналог Cisco ACLs), которые позволят задавать отдельные наборы правил для разных интерфейсов и входящих/исходящих пакетов);<br>- Новая реализация динамических правил с унифицированной системой отслеживания состояния соединений;<br>- Поддержка модулей фильтрации уровня ядра и уровня пользователя;<br>- Более тесная интеграция с netgraph.<br><br><br><br>URL: http://nuclight.livejournal.com/130012.html<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=33700<br> https://www.opennet.me/openforum/vsluhforumID3/84296.html#55 Sat, 05 May 2012 05:11:51 GMT &gt; gre много раз ваш pf умеет без костылей?<br><br>Да.<br>Достаточно сделать allow gre no state<br> https://www.opennet.me/openforum/vsluhforumID3/84296.html#54 Sat, 05 May 2012 05:10:37 GMT Ой как не верится мне что-то. У меня стоит пара серверов на Атоме под те же задачи, пропускает порядка 400 клиентов и 20-30 кппс, но загрузка проца сетёвкой порядка 80% при этом. <br> https://www.opennet.me/openforum/vsluhforumID3/84296.html#53 Sat, 28 Apr 2012 19:34:39 GMT &gt; *снос <br>&gt; а в файле оно выглядит так - <br>&gt; /sbin/iptables -I PREROUTING -i eth0 -d 100.100.100.254 -p tcp -m tcp --dport <br>&gt; 2022 -j DNAT --to-destination 10.122.1.3:22 -t nat <br>&gt; /sbin/iptables -I POSTROUTING -o eth0 -s 10.122.1.3 -p tcp -m tcp --sport <br>&gt; 22 -j SNAT --to-source 100.100.100.254:2022 -t nat <br>&gt; /sbin/iptables -A POSTROUTING -d 10.122.1.3 -p tcp --dport 22 -j SNAT --to-source <br>&gt; 100.100.100.254 -t nat <br><br>и достаточно было всего 1 правила:<br><br>/sbin/iptables -t nat -A PREROUTING -d 100.100.100.254 -p tcp -m tcp --dport 2022 -j DNAT --to-destination 10.122.1.3:22<br><br> https://www.opennet.me/openforum/vsluhforumID3/84296.html#52 Sat, 28 Apr 2012 19:28:10 GMT <br>&gt; /sbin/iptables -I PREROUTING -i eth0 -d 100.100.100.254 -p tcp -m tcp --dport <br>&gt; 2022 -j DNAT --to-destination 10.122.1.3:22 -t nat <br><br>а что за -t nat ? <br>если вы так указываете так таблицу, то в man iptables совершенного другой SYNOPSIS.<br><br><br> https://www.opennet.me/openforum/vsluhforumID3/84296.html#51 Sat, 28 Apr 2012 19:20:08 GMT *снос<br><br>а в файле оно выглядит так - <br><br>/sbin/iptables -I PREROUTING -i eth0 -d 100.100.100.254 -p tcp -m tcp --dport 2022 -j DNAT --to-destination 10.122.1.3:22 -t nat<br>/sbin/iptables -I POSTROUTING -o eth0 -s 10.122.1.3 -p tcp -m tcp --sport 22 -j SNAT --to-source 100.100.100.254:2022 -t nat<br>/sbin/iptables -A POSTROUTING -d 10.122.1.3 -p tcp --dport 22 -j SNAT --to-source 100.100.100.254 -t nat<br> https://www.opennet.me/openforum/vsluhforumID3/84296.html#50 Sat, 28 Apr 2012 19:19:29 GMT &gt; iptables-save не юзаю <br>&gt; по привычке с фри закидываю правила в файл, в котором первыми строками <br>&gt; - сном всех правил <br><br>ну и зря. потому как iptables-save/iptables-restore атомарны.<br>кроме того, выгружают набор из всех таблиц.<br><br> https://www.opennet.me/openforum/vsluhforumID3/84296.html#49 Sat, 28 Apr 2012 19:13:53 GMT iptables-save не юзаю<br>по привычке с фри закидываю правила в файл, в котором первыми строками - сном всех правил<br><br>достаточно подредактировать файл и запустить его<br> https://www.opennet.me/openforum/vsluhforumID3/84296.html#48 Sat, 28 Apr 2012 03:27:46 GMT &gt; В том же iptables, чтобы пробросить порт нужно только правило. А сколько нужно телодвижений в ipfw?<br><br>Ты не проверишь, одно.<br> https://www.opennet.me/openforum/vsluhforumID3/84296.html#47 Fri, 27 Apr 2012 12:07:38 GMT &gt; :~# iptables -nL -t nat <br><br>лучше выхлоп iptables-save<br><br><br><br>