digim

я думал что этот вопрос не вызовет сомнений, ну а вообще назад конечно STG пакеты может и не возвращать. выдержки из мана: divert port Divert packets that match this rule to the divert(4) socket bound to port port. The search terminates. PACKET DIVERSION A divert(4) socket bound to the specified port will receive all packets diverted to that port. If no socket is bound to the destination port, or if the divert module is not loaded, or if the kernel was not compiled with divert socket support, the packets are dropped. Pac

строго говоря - так должно быть

make bsd это имхо для более старых версий, для 2.4 неактуально.

имхо дивертить надо ДО, потому что когда пакет проходит правило allow(у тебя кстати это не указано) он больше в фаервол не попадает.

и почему же прежде чем в натд? мы тогда никогда не узнаем кому этот пакет адресован, будет вестись только общий подсчет траффика! ЗЫ считаю крайне необходимым выложить на сайт СТГ рабочий пример с конфигами, полным списком правил фаервола и топологией сети.

у меня весь обмен трафиком вешается нафик, тачка становится недоступна с того ифейса с которого идет диверт, похоже что старгейзер не возвращает трафик обратно в ядро, но как это проверить?

А что пришлось править? Можно на Makefile посмотреть? там где идет проверка на bsd5 в список плагинов добавляется только bpf, поэтому диверт не собирается. у меня кстати вчера при первом грубом тестировании диверт не захотел работать... у кого-нибудь есть рабочие примеры правил ipfw и конфига старгазера? это еще один кстати камень в огород документаторов!

думаю что именно так и собирать, колхозом разработчики делать порт для freebsd пока не хотят