т.е. from any in via em0

т.е., неизвестно, что прийдет снаружи, поэтому все пакеты идут через NAT

в идеале правила строятся так

allow ip from N to M out via em0

nat ip from any to any out em0

firewall_script это совсем другое, я не про него.

nat ip from any to any in em0

Но "автоматом" таким образом ничего не настроится

Системные скрипты умеют автоматом все настраивать как минимум с 2.* и не разучились с появлением ipfw nat

Конечно, для простых случаев.

Системные скрипты умеют автоматом все настраивать как минимум с 2.* и не разучились с появлением ipfw nat

если firewall_script не перезабит )

Я ещё не понял, если ядро пересобрано с IPFIREWALL_NAT то в rc.conf не надо писать firewall_Nat_enable="YES"?

Надр

Я ещё не понял, если ядро пересобрано с IPFIREWALL_NAT то в rc.conf не надо писать firewall_Nat_enable="YES"?

А как у тебя вообще в rc.conf firewall включен?

Так на сайте лисяры написано либо пересборка с данным параметром либо без пересборки через рц включить

Надо, потому как пересборка ядра только избавляет от подгрузки модулей, но не от настройки nat

Лисяру читать нельзя

Надо, потому как пересборка ядра только избавляет от подгрузки модулей, но не от настройки nat

Я так понял, у него как-раз firewall_script написан с нуля... firewall_nat_enable ничего ему не даст

У него больше вреда, чем пользы.

Лисяру читать нельзя

Во как

Я так понял, у него как-раз firewall_script написан с нуля... firewall_nat_enable ничего ему не даст

Ну и и зря.

Шикарные стикеры)))

Посоветуйте с какого дефолтного скрипта начать, если не брать за образец лисяру

С системного

Читаешь man rc.conf про firewall_nat_*

Посоветуйте с какого дефолтного скрипта начать, если не брать за образец лисяру

убери в rc.conf firewall_script, тогда по дефолту у тебя будет системный rc.firewall

прописываешь только эти параметры в дополнение к open-файрволу

Ок, дефолтный много запрещает ?

он все сам за тебя настроит, если в rc.conf правильно задать опции firewall_

Получаешь рабочий конфиг.

Ок, дефолтный много запрещает ?

как настроишь

Дефолтный все разрешает

Но это совсем не страшно за nat

firewall_type и там типа разные варианты simple и т.п.?

Да, ставь open для начала.

Так опен полностью откбрытый без правил вроде?

Нет

нет, это значит всё что не прописано разрешено, последним правилом, перед ним тыкаеш лог и отлавливаеш в нём всё что не нравится

Там дофига правил будет в open

https://www.freebsd.org/doc/en/books/handbook/firewalls-ipfw.html вот тут еще можно все подробно прочитать

ой ну вот давайте только не ru

ну если вы точно уверены что оно актуально в данной части

не актуально ))

сейчас проверил

хотя, отличия там вроде минимальны

Только ipfw nat нет совсем

ну, как сказали уже, разницы с ipfw nat никакой нет

их нет только в правилах ipfw, было сказано

В настройках, конечно, сильно по-разному

Никакого natd.conf

Опции отличаются, хоть и не сильно.

Кстати сказать, ipfwnat.conf не помешал бы, но пока его нет.

Только не статичный, как был natd.conf, а с простыми переменными

https://twitter.com/f0andrey/status/932670127623073792 ах ты блядь же ж твою

https://twitter.com/f0andrey/status/932670127623073792 ах ты блядь же ж твою

Точно не обновили? И на удивление сайт с малого айфно читабелен

не, у меня в одном месте китайский был, отвалило

Для одного канала в инет ничего больше и не надо для начала.

для одного канала в инет хватит и тп-линка

для одного канала в инет хватит и тп-линка

Тплинк ничего кроме роутинга не может, а у нас универсальный сервер

Тплинк ничего кроме роутинга не может, а у нас универсальный сервер

но он не шумит и практически не кушает электричество. а в чем заключается универсальность?

вот мне всегда интересно, неужто людям так нехуй делать, что они вынуждены по тематическим каналам слонятся и хуйню нести

вот мне всегда интересно, неужто людям так нехуй делать, что они вынуждены по тематическим каналам слонятся и хуйню нести

бомбит что ли?

но он не шумит и практически не кушает электричество. а в чем заключается универсальность?

Не шумит и электричество это про железо, моя домашняя фря на AMD Geode ничуть не хуже, не говоря уже про фрю на том же TP-Link

универсальность в смысле машины тьюринга и расширябельности по железу через USB и проч.

Поставил обратно пока 9.1 сервер

На нем пинги лучше даже проходят

ERROR: S client not available

До яндекса около 5мс

А с 11.1 до того же яндекса около 50мс

Странно

бред какой-то

с всех разных версий 17 ms

И это при том что старый сервак это core 2 duo e6600 двух ядерник и 5ГБ оперативы, а новый i5 четыре ядра, 32ГБ оперативы и сетевуха какая-то гигабитная интеловская из неплохой серии

Я, конечно понимаю что железо не настолько влияет, но тем не менее

Если кому-то интересно могу на тачку с 11й пустить покопаться поглядеть что да как

с всех разных версий 17 ms

Ну если так то тут либо моя криворукость, либо чудной провайдер

ip то хоть одни и те же пингуешь?

Глупый вопрос, конечно же нет.

Думаю что у ya.ru они могут быть не одинаковые

Я в целом по общему впечатлению, помню что сколько пользуюсь 9.1, а это около 1 года, пинги до ya.ru в среднем от 5мс до 20мс максимум

А на 11й сразу не меньше 45-50

Это как бы в глаза бросается, потому и обратил внимание

пипец

А что пинг идет на другой ip не бросается

Ресолверы разные. Попробуй по ip

Я же не буду запоминать каждый раз ip на который пинг идет, просто общее впечатление будто что-то подтормаживает инет

Я же не буду запоминать каждый раз ip на который пинг идет, просто общее впечатление будто что-то подтормаживает инет

Днс сервера какие прописаны?

Провайдерские, блииин кстати

пипец

Щас вспомнил на старом сервере у меня на bind 8.8.8.8 и. 8.8.4.4

А на новом те что от провайдера прописались в resolv.conf

С локальным dns-кешем и без него

Че-то тормоза!

Пипец

И на новом соответственно dnsmasq вместо bind

Пипец

Странный у тебя настрой с утра

Выдыхай

И на новом соответственно dnsmasq вместо bind

Я думаю, тебе в эту сторону надо посмотреть