IpfwNg

[nuclight]

В честь 26 годовщины 26 апреля уволился с текущей работы и таки наконец начал проект http://wiki.freebsd.org/IpfwNg — хотя на работе FreeBSD и была основной системой, реальную возможность пилить ядро я так и не получил (хотя тот же NAT64 нам бы понадобился не через полгода, так через год). В ближайшие недели посижу дома и надеюсь сделать хотя бы скелет, который можно будет потом уже в свободное время потихоньку пилить — работы по проекту предстоит очень много.

Желающие обсудить по делу — велкам в каменты (хотя я туда еще не все наброски оформил).

Comments

[nuclight.livejournal.com]

Не всё так просто и в линуксе, чуть шаг в сторону, например в виде редиректов на внутренние машины (вполне частая задача на практике), и тоже становится сложно, вот пример:
http://habrahabr.ru/post/49137/
http://habrahabr.ru/post/55132/

Там, конечно, лишнего хватает, вот статья с чисто экстрактом правил по теме:
http://habrahabr.ru/post/117620/
И объяснением, что:

Если пакет вошёл через второго провайдера, он NAT-ится на наш сервер, обрабатывается, образуется ответный пакет, который выходит через первого провайдера… а почему? Потому, что сначала в Linux происходит маршрутизация, а потом уже SNAT.

Почти такие же наши tag, причем вызванные тем, что у них порядок прохождения пакета по стеку жестко фиксирован.

Я надеюсь с помощью ruletable на месте вызова ip rule + возможности setfib в файрволе - делать их в динамических правилах - сделать так, что у нас эта задача будет конфигурироваться проще.