PF nad bridge

[Miroslav Lachman]

Cizek.Milan wrote:

> Ahoj,
> snažím se přenést jedno funkční řešení z 6.3-RELEASE na 7.1, ale nedaří se. :-(
> 
> 2x síťová karta v bridge, IPFW+PF, ukázka rc.conf...
> 
> ifconfig_fxp0="192.168.1.14/24 up"
> ifconfig_rl0="up"
> 
> cloned_interfaces="bridge0"
> ifconfig_bridge0="addm fxp0 addm rl0 up"
> 
> pf_enable="YES"
> pflog_enable="YES"
> 
> firewall_enable="YES"
> firewall_script="/etc/rc.firewall"
> firewall_quiet="YES"
> firewall_logging="YES"
> 
> Ať dělám co dělám, nedaří se mi přinutit, aby mi provoz protékal skrz PF (na té 6.3 mi to jde), dělám to takto:
> 
> sysctl net.link.bridge.ipfw=1
> sysctl net.link.bridge.pfil_member=1
> sysctl net.link.bridge.pfil_bridge=1
> sysctl net.inet.ip.forwarding=1
> 
> Jediný znatelný rozdíl při přenosu byl ten, že jsem z kernelu na 7.1 musel vyhodit "options BRIDGE" (nezná) a ponechat pouze device if_bridge. Když porovnám sysctl, jsou tam nějaké odlišnosti (chybí např. net.link.ether.bridge.config). Nevíte někdo, kde může být pes zakopán? Díky za radu.

Muzu jen tak ze zvedavosti vedet, proc tam jsou dva firewally? Tedy IPFW 
i PF?

Kazdopadne mezi 6.x a 7.x PF je tusim rozdil v tom, ze v 7.x se 
automaticky pridava 'keep state', to by ale asi nemelo mit vliv na to, 
jestli nejaky provoz potece skrz PF.

Co je ted tedy konkretne za problem? brdige funguje, ale neaplikuji se 
na nej zadna pravidla z PF? Je PF skutecne spusteno a jaka jsou tam 
pravidla (to je asi ta nejdulezitejsi informace, ktera tu zcela chybi, 
stejne jako pravidla z IPFW)

Mirek