Здравствуйте! Досталась в наследство коробка, на которой используется одновременно и PF и IPFW. Средствами PF NAT и некоторый PBR, через IPFW функции фаервола.
Появилась необходимость для одной из подсетей пошейпить доступ в инторнеты. Нарисовал такое правила: #pipe 2 config bw 1Mbit/s queue 128KBytes mask dst-ip 0xffffffff #pipe 4 config bw 1Mbit/s queue 128KBytes mask src-ip 0xffffffff #add pipe 2 ip from any to 192.168.200.0/23 out xmit ng3 #add pipe 4 ip from 192.168.200.0/23 to any in recv ng3 ng3 - внешний интерфейс. Применяю правила и вижу что в очередях пусто. Возникла мысль, что pf срабатывает перед ipfw и пакеты из серой сети не попадают в pipe. Если перевесить правила на интерфейс локальный - все работает. В связи с чем вопрос, в каком порядке пакеты проходят фильтры, если оба активны? Или я вообще не в ту сторону смотрю? Спасибо! -- WBR, Yuriy B. Borysov YOKO-UANIC | YOKO-RIPE
