ipfw ,, recv, xmit, via....

Phoenix

1)in recv rl0 - входящий пакет, полученный с интерфейса rl0
2)out recv rl0 - исходящий пакет, полученный rl0 интерфейсом
3)out xmit rl0 - исходящий пакет, отправленный rl0 интерфейсом
я правильно понимаю, что на языке iptables
1 - это INPUT
2 - это FORWARD
3 - это OUTPUT
?
и как применяются правила для проходящих пакетах, два раза, когда входит и когда выходит?
в мане написано

The via keyword causes the interface to always be checked. If
recv or xmit is used instead of via, then only the receive or
transmit interface (respectively) is checked. By specifying
both, it is possible to match packets based on both receive and
transmit interface, e.g.:
ipfw add deny ip from any to any out recv ed0 xmit ed1
The recv interface can be tested on either incoming or outgoing
packets, while the xmit interface can only be tested on outgoing
packets. So out is required (and in is invalid) whenever xmit is
used.

что значит "recv ed0 xmit ed1"
откуда мы знаем, куда уйдёт пакет?
или это правило срабатывает только если пакет проверяется уже выходящим?

krishtaf

 

я правильно понимаю, что на языке iptables
1 - это INPUT
2 - это FORWARD
3 - это OUTPUT

В случае системы с одним интерфейсом - это может быть и так, но все равно есть отличия
А в общем случае - это неправильно.
Хороший и исчерпывающий документ - man iptables.

krishtaf

 

что значит "recv ed0 xmit ed1"
откуда мы знаем, куда уйдёт пакет?
или это правило срабатывает только если пакет проверяется уже выходящим?

в документе man ipfw есть раздел, в котором описываются ситуации проверки пакетов на соответсвие правилам.

The recv interface can be tested on either incoming or outgoing
packets, while the xmit interface can only be tested on outgoing
packets. So out is required (and in is invalid) whenever xmit is
used.
A packet may not have a receive or transmit interface: packets
originating from the local host have no receive interface, while
packets destined for the local host have no transmit interface.

tokuchu

В man ipfw всё нормально написано. В данном случае описывается, что когда пакет проверяется на входе, то recv известен, а xmit ещё нет, поэтому такое использование будет неправильным.

krishtaf

может сэр что-то путает ?

The via keyword causes the interface to always be checked. If
recv or xmit is used instead of via, then only the receive or
transmit interface (respectively) is checked. By specifying
both, it is possible to match packets based on both receive and
transmit interface, e.g.:
ipfw add deny ip from any to any out recv ed0 xmit ed1

tokuchu

So out is required (and in is invalid) whenever xmit is used.

Я это имел в виду. Плохо выразился, согласен. Основная мысль заключалась в man ipfw на самом деле.