PF nad bridge

[Milan Cizek]

Ahoj,
diky za reakce. Trochu se stydim, ale ta informace, ze pakety skrz PF
neprochazi byla mylna. Az cestou domu z práce jsem si uvedomil absenci
kouzelneho sluvka "log" v danem pravidle. :) Takze nyní vim, ze pakety
skrz/do PF prochazeji.

> Muzu jen tak ze zvedavosti vedet, proc tam jsou dva 
> firewally? Tedy IPFW i PF?

IPFW dela pomoci dummynetu shaping nekolika tisicu IPcek. Jsou tam ruzne
dumyslne optimalizace skrz skipy atd., ladilo se to celkem dlouho (generuji
to skripty) a nejaky ten rok to bezi v ostrem provozu naprosto bez problemu.
Nechci a ani z casovych duvodu nemohu, vymyslet vse znovu.

PF je tam jen kuli jednomu rdr pravidlu pro vybrane IP adresy. Snazil jsem
se toto resit na urovni IPFW, ale tam to s ohledem na dosavadni konfiguraci
možné není (fwd pravidlo = L3). Prakticky je mi jedno, který FW paket
obslouží jako první/druhý.

> Co je ted tedy konkretne za problem? brdige funguje, ale 
> neaplikuji se na nej zadna pravidla z PF? Je PF skutecne 
> spusteno a jaka jsou tam pravidla (to je asi ta 
> nejdulezitejsi informace, ktera tu zcela chybi, stejne jako 
> pravidla z IPFW)

Problém je tedy asi až v PF. :-)
Vše funguje až do okamžiku, kdy nahodím PF a ve skupině je adresa
(192.168.1.12) testovaného PC.

NET-->[bridge0:fxp0--rl0]-->LAN(192.168.1.12)

int_if="rl0"
table <skupina> const { 192.168.1.12 }
rdr pass log on $int_if proto tcp from <skupina> to any port 80 -> x.x.x.x
port 8080
pass all

Tady zatím končím. Pravidlo rdr evidentně "něco" dělá, jelikož veškerý
traffic (z testovacího PC) krom webu (80 port) funguje. Přesměrování se ale
nekoná. 

Milan