关于ipfw+nat 转换的问题

lsstarboy

我给你分析一下流程吧：
进入的一个包，比如202.102.a.b->202.106.c.d
那么它第一个接触到的是200规则，发现它allow我进入，当然就直接进入了。不用再到下面去找你那个400规则了。
或者说，进来的包被200规则“短路”了。
解决办法：把200规则号变成450就可以了。

再提醒一句：ipfw顺序比较严格，一定要分析一下有没有“短路”的情况。

lsstarboy

100规则当然要有了，否则内网的机器连你的内网网卡都进不去，那还谈什么再做地址转换啊？

地址转换中，要变三次形式，对应于不同的网卡（网络介面）。你可以看一下我以前写的点东西，不是很准确，也有点乱，但是大体的道理应该是对的。

http://blog.chinaunix.net/u1/38866/showart_339691.html

lsstarboy

我自己用的ipfw规则，谨供参考：

ipfw -q flush
ipfw add 100 allow ip from any to any via fxp0
ipfw add 500 divert natd ip from any to any in via xl0
ipfw add 600 divert natd ip from 192.168.2.0/24 to any out via xl0
ipfw add 700 allow udp from any to any 53
ipfw add 800 allow ip from any to any established
ipfw add 900 allow ip from any to any diverted

外网：xl0，内网fxp0

dranshion

有点对不住ｌｓ的　呵呵　　点你的帖子连接是　点到臭蛋了　　:em11:

lsstarboy

我也只是个业余爱好者，这个原因我也不是很清楚，我的理解是：
1、如果两个IP对应一个网卡，那么就会在一个网卡上出现两次路由。
2、如果同一下网卡上有两个同一个网段的IP，那么arp包会冲突。就是两个IP都对在同一个网络地址上面广播arp，那么两个IP都接到对方的arp信息，和自己的arp一对照，就会发现冲突。

不一定正确，还是请对协议熟悉的大侠回答吧。