Не уверен что понял. Я предлагал то что сам неоднократно делал, решать проблему до победы. Не вижу непреодолимых трудностей в вашей ситуации. То что трудозатратно это да, но возможно. Проехали.

так ты и вообще мою ситуацию не знаешь:) логично, что ты не видишь трудностей:) это типично для лора:) вот лоровец емко комментит:

за сколько пофиксят баг во FreeBSD (комментарий)

и при этом это тот же лоровец, который подробно пишет о своих проблемах

А как прошёл ваш 2020? (комментарий)

у других легко, у себя сложно. все логично) при этом видно, что и ты ipfw не от зубов знаешь и тебя сходу легко запутать.

решать проблему до победы.

мне не хочется кучу времени посвящать решению этого задротства. вчера я только зарепортил панику в ядре из-за проблем где-то в стетевом стеке или файрволинге. за прошлые два года я несколько раз смотрел ipfw и несколько раз убеждался, что на сложных конфигах он отстой. я вчера создал виртуалку чисто для его тестирования, перенаправил часть трафика и прогресс за день был очень медленный. так что может быть я просто сделаю виртуалку и перенесу туда маршрутизатор на линуксе. если virtualbox сломается после апдейта, то чинить это будет гораздо быстрее и проще.

можешь из любопытства сравнить выдачу в гугле по

«iptables packet flow diagram» (сразу выдает подробную схему) и

«ipfw packet flow diagram» (выдает схемы для openbsd). я так подробной схемы прохождения пакетов для ipfw и не нашел. в мане не хватает подробностей.

теперь к моим словам о задротстве.

вот счетчики от прохождения одного (!) ICMP пакета по двум(!) правилам.

00302  2  168 setfib 1 ip from any to any tagged 1
00304  3  252 allow tag 1 icmp from x.x.x.x to any
00306  0    0 setfib 1 ip from any to any tagged 1
00308  0    0 allow log icmp from x.x.x.x to any

мы видим, что пакет почему-то кружится в файрволе.

allow tag и ставит метку и _прекращает_ его дальнейшее прохождение.

но пакет инжектируется в файрвол еще раз. срабатывает на setfib и _проходит_ дальше.

потом пакет инжектируется в файрвол еще раз(!). а теперь представь, что тебе такие кульбиты на сотне правил проверять.

и вы с IPR такие: а че?! переписать! не вижу проблем!

p.s.

от sysctl one_pass не зависит

p.p.s.

нужно еще раз сказать, что в iptables такой хрени нет?

у других легко, у себя сложно. все логично) при этом видно, что и ты ipfw не от зубов знаешь и тебя сходу легко запутать.

Что у других легко кажется это от обобщённого взгляда без знания деталей. А ipfw я знаю на уровне настроить сетевой экран на ноуте и воркстейшене своём. Этого мне хватает, да и не заинтересован я тратить время на ненужные мне знания. Денег мне не платят за настройки, деплои, обновы и подобное. А компитятор C++ и nvim работают на фряше ровно так же как и на линуксе.

Денег мне не платят ... на фряше

да, это just for fun. что-то интересно, хорошо сделано, но файрвол одна из старых и слабых вещей.

Что у других легко кажется это от обобщённого взгляда без знания деталей.

рад, что ты смог понять и логически объяснить свое поведение.

Файрвол PF в ОС FreeBSD

Здесь описано популярно: https://habr.com/ru/company/ics/blog/546720/

с link layer не работает. плюс там примерно то же самое: процедура проверки пакетов общая, без цепочек.

Официальный мануал состоит из каких-то мантр:

It is important that the rule number selected for this NAT rule is higher than the first three rules and lower than the check-state rule. Furthermore, because of the behavior of in-kernel NAT it is advised to place a reassemble rule just before the first NAT rule and after the rules that allow traffic on trusted interface.

Смешайте две части змеиной желчи и добавьте кровь ягненка и заячью лапку, при этом ягненок должен быть не старше 6 месяцев, а зайчонок до этого не должен быть с ним знаком...

У меня не работает keep-state для icmp (udp?) и в оф. рассылках пишут, что мол и не должен. Типа протокол не поддерживает состояния. Зато в хендбуке keep-state возле icmp везде стоит.%(

Так вот, на этом ноуте не работает дебиан10. Никак. Теряет вайфай, разделы, системда панике. На эту тему я находил тикеты в багзилле. В дебиан10 криво собрано ядро. И оно таким останется навечно, скорее всего.

В Debian 10 есть backports, в которых лежит новое ядро.

В Debian 10 есть backports, в которых лежит новое ядро.

Следим за руками. Для того, чтобы установить ядро из бэкпорта, надо иметь работающую систему. А она не работает. Ломается на этапе загрузки.

Можно, конечно, через чрут это сделать, но проще поставить дебиан11.

Я адмиристрирую домашнюю сеть и маленький сервер в качестве хобби, скажем так, мой опыт едва ли применим для матерых администраторов или продакшен енва. Месяца 2 назад я перевел свой домашний сервер(smb,nfs,plex,torrent) с rhel на freebsd, была вереница проблем когда я захотел изолировать различные сервисы в своих джейлах. Потратил пару-тройку дней на это все, а сейчас крутится и не беспокоит меня. Есть еще у меня виртуалочка у амазона с центос, где крутится впн сервер. Следущим пунктом будет перевести ее на фрибсд и соеденить с домашним сервером, чтобы иметь доступ извне к домашним ресурсам. Получится ли - хз, но как время появится, хочется заняться. Кернел паник не было пока.

Машины в сети можно соединить по NFS. Делается просто. Ничего специально ставить не надо.

keep-state подразумевается. За состоянием следит сам PF. Конкретный протокол его может и не поддерживать.

я тоже так думал. так это работает на линуксе. но с фрей все оказалось иначе. причем вся эта алхимия с порядком правил, чтобы этот keep-state начал работать... я просто плюнул. это нереально тупо валить весь трафик в одно место и потом там заниматься порядком правил.

я тоже дома развлекаюсь, конечно. это у меня дома уже накопилось.

чтобы иметь доступ извне к домашним ресурсам

да поднял на шлюзе обычный VPN сервер, выделил сетку, настроил маршруты и соединяйся, откуда хочешь.