FreeBSD ipfw tablearg

Question

Я настраиваю брандмауэр FreeBSD и у меня такая ситуация:

51000 pipe tablearg ip from not table(17) to table(20) out xmit ng*
51010 pipe tablearg ip from table(21) to not table(17) in recv ng*
51020 pipe tablearg ip from any to table(18) out xmit ng*
51030 pipe tablearg ip from table(19) to any in recv ng*

Таблицы 18 , 19 , 20 , 21 содержат IP-адреса клиентов и номера каналов; Таблица 17 - Список сетей.

Правила 51020 и 51030 работают нормально, но что происходит в 51000 и 51010? Как определить брандмауэр, чтобы взять номер трубы из таблиц 20 и 21 а не из 17?

Answer 1

Получение таблиц ipfw из таблиц при использовании двух таблиц: Если оператор 'not' не используется перед таблицей назначения (второй в строке), из нее будет взята таблица таблиц конвейера. В другом случае будет использована другая таблица. Итого имеем: в rule 51000 используется table 20 а в rule 51010 - table 21 .