нене, ipfw_nat.ko

ipfw show ?

нене, ipfw_nat.ko

Эээ, тогда не понял про natd

ну, все начиналось с одного libalias

Да всё доходит. Только очень медленно. Я увижу дамп пакетов каких-то на выходе. И собственно что?

Фил, ты ноты читать умеешь?

Фил, ты ноты читать умеешь?

нет

нет

Ну вот с tcpdump так же.

Ну вот с tcpdump так же.

Погодь. Проблема откровенно где-то внутри NAT. Я пытался даже гуглить, но как-то мимо

Я моу попробовать симитировать ситуацию

так какие там правила?

в смысле ipfw show

00050 0 0 nat 123 ip4 from any to any via igb0 00100 0 0 allow ip from any to any via lo0 00200 0 0 deny ip from any to 127.0.0.0/8 00300 0 0 deny ip from 127.0.0.0/8 to any 00400 0 0 deny ip from any to ::1 00500 0 0 deny ip from ::1 to any 00600 0 0 allow ipv6-icmp from :: to ff02::/16 00700 0 0 allow ipv6-icmp from fe80::/10 to fe80::/10 00800 0 0 allow ipv6-icmp from fe80::/10 to ff02::/16 00900 0 0 allow ipv6-icmp from any to any ip6 icmp6types 1 01000 0 0 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136 65000 0 0 allow ip from any to any 65535 0 0 deny ip from any to any

вот это стандартные

А если есть комп подключенный к локалке 192.168.1.*, с этого компа впн подключение к серверу, через tun (192.168.100.*)... Сервер в свою очередь подключен к своей локалке 192.168.1.*... можно ли что-нибудь сделать, чтоб клиент видел обе локалки? Например, что клиент видел удаленную локалку как какую-нибудь 192.168.2.*

на сервере ipfw

дальше forward мысль не сдвигается....

netgraph конечно может любые хотелки сделать... но это выше моих способностей

должны же быть готовые решения

хотя... наверное поменять адрес сети собственной локалки наверное самое простое решение....

nat 123 ip4 from any to any via igb0

не очень хорошо

а чем нехорошо и как правильно?

во-первых net.inet.ip.fw.one_pass ?

туда попадет трафик который бы не должен

http://www.lissyara.su/articles/freebsd/tuning/ipfw_nat/

все разжовано достаточно подробно

туда попадет трафик который бы не должен

а как отделить один от другого?

поставить нат после фильтров ненужного трафика

http://www.lissyara.su/articles/freebsd/tuning/ipfw_nat/

Не упоминай тупых детей всуе )

не, конкретная статейка весьма годная

она на основе еще вот этой древней статьи http://nuclight.livejournal.com/124348.html

Смотря что понимать под видел

ну, чтоб tcp и udp нормально ходили в обе стороны

чтобы без бродкастов и мультикастов сделать, достаточно везде прописать правильные маршруты и соорудить нат на компе, чтобы натилось на адрес туннеля и на сервере на что-то левое где-нибудь на лупбеке

она на основе еще вот этой древней статьи http://nuclight.livejournal.com/124348.html

Вадим не такой и древний

ну 10 лет почти все же

Вот коллеги на работе ибуцца-то

Перетягивают Жутко Важный Сервер с FreeBSD 5.5 на новое железо

Вторую неделю уже попкорн жру )

такие древности только на kvm

есть время жрать попкорн ? так хорошо идет ?

хотя, лучше обновить таки

Ну не я ж делаю, так что да, у меня есть )

оу

такие древности только на kvm

А линукс сумеет поддержать-то такую древность?

у меня две четверки крутяться

дык.

Завиртуализировать систему я им предлагал, но в целом даже у меня нет уверенности, что оно где-нибудь подымется

Можно в ESXi закинуть

всегда можнож попробовать

Тут ещё воспитательный момент присутствует. ;)

У меня сейчас другой вопрос - возможно ли на FreeBSD 10.3 c poudriere поднять jail с FreeBSD 11

нет )) ядро будет же 10.3 :)

Печалько. Обратное тоже не будет, я так понимаю?

Правда, для портов это вряд ли актуально.

А хотя не, блин, мне там ng_ipacct с исходниками ядра собирать. Чёрт

остается BHyVe

Виртуалки в виртуалке в виртуалке %)

аче

на 11 можно 10.3 поднять в клетке

А у меня эта машинка уже в ESXi

Сергей, клетка это jail? У них же ядро будет общее, не?

да

ERROR: S client not available

но окружение будет 10.3 и compat в ядре сработает для клетки

в общем, клетку меньшей версии можно поднять

Хм. Хм. Спасибо

а большей вряд ли

Резонно

я даже для чего-то делал такое, не помню, правда, зачем

на 10 версии поднимал 9 клетку

В wiki аж несколько отдельных вопросов и ответов по теме вложенной виртуализации https://wiki.freebsd.org/bhyve

и 32битную клетку на 64-битной системе можно сделать

Ну это да, в курсе

Puppet с FreeBSD кто-нибудь использует, кстати?

Я пока настроил, задолбался, но сейчас ничо так, работает неплохо

да имеем опыт, но лучше для freebsd - saltstack...

Чем лучше?

всем... намучаешься с puppet'ом под фряхой, писать все manifest'ы будешь с нуля и адаптировать существующие... на saltstack это делается в разы проще.

Да у меня уже всё сделано, в принципе, но не всё просто делается

всем... намучаешься с puppet'ом под фряхой, писать все manifest'ы будешь с нуля и адаптировать существующие... на saltstack это делается в разы проще.

В соле можно ставить порты и указывать опции?

В соле можно ставить порты и указывать опции?

Если нужны порты с нестандартными опциями лучше держать poudriere и ставить пакеты из локального репозитария. Если конечно серверов достаточно много. Если мало, то опции можно писать в /etc/make.conf и дальше установка портов с опциями происходит так же как без них.

Если нужны порты с нестандартными опциями лучше держать poudriere и ставить пакеты из локального репозитария. Если конечно серверов достаточно много. Если мало, то опции можно писать в /etc/make.conf и дальше установка портов с опциями происходит так же как без них.

Это понятно. То есть не может? Верно я понял?

я salt не использовал и не знаю что он может, просто не очень понятно зачем от него поддержка портов с опциями.

11 с UEFI нет еще?

я уефи вижу только у 10.3

а почему не должно быть

не знаю

у 10.3 есть образ uefi-memstick у 11 только memstick

они все в один образ засунули?

они все в один образ засунули?

Может универсальный. Раскатать и поискать там ESP?

Если хош

Я ща вожусь с рефайндом

Мне лень

У меня 10.3 на zfs root, мне хватило поибаиься с кривым efi на плате