MY> снимите с ручника. Делаю множство инстансов ipfw nat. Вешаю подсеть MY> белых ip на lo0, пишу так
MY> nat tablearg ip from any to table(белые_ip) in via igb0 MY> nat tablearg ip from table(серые ip) to any out via igb0
MY> работает. Изменяю вторую строку на MY> nat tablearg ip from table(серые ip) to any in via vlan*
изменил in на out - вот оно и не работает. libalias (или тот, кто туда пакет запихивает) смотрит на направление движения пакета, если он out - значит пакет пришел "изнутри" и его надо заалиасить в alias_addr перед выпуском наружу, если in - соответственно наоборот. У natd(8) были отдельные ключи -in_port, -out-port для того чтобы пакеты можно было в natd запихивать из произвольного прохода по правилам ipfw.
MY> не работает, хотя по счетчикам ipfw show видно что пакеты под правило MY> попадают. ipfw nat show показывает что сессий у него по нулям. В дампе MY> на выходе пакетов также не наблюдается. Я не понимаю, для libalias MY> критично чтобы к пакету уже роутинговую информацию прицепило? Что-то MY> не обнаружил при беглом просмотре манов необходимости явного указания MY> выходного интерфейса. Зачем???
