1. Для ipfw пакет логически входит куда-то и выходит откуда-то, вне зависимости от того, что там за интерфейсы по логике между. Два предмета — вошёл и вышел.
2. Если пакет предназначен для IP на данном хосте, то интерфейс будет один — тот, в который он вошёл. Т.е. если к lan0 привязан адрес 1 из подсети 1, а к lan1 привязан адрес 2 из подсети 2, пакет пришел из подсети 1 на интерфейс lan1 и предназначем для адреса 2, который на интерфейсе lan2, то правило "blablabla via lan2" для него не применимо — он как вошёл lan1 in, так и остался там.
3. in/out — это логический вход/выход с интерфейса. Физический — recv и xmit. Например recv via lan1 — это то, что реально пришло снаружи хоста.
4. Когда мы NATим для своей того же хоста — это боль. Потому что мы можем выкинуть все динамические правила.
1. Должен существовать loopback-интерфейс и никак иначе. В противном случае, например sendmail/unbound не сможет повиснуть на IPv6 искаропки.
2. На loopback должен быть повешен именно loopback-ipv6. Обычный работает в плане сети, но на него отказываются вешаться sendmail/unbound.
3. Хитрая багофича — в /etc/resolv.conf надо рисовать loopback-адрес на loopback-интерфейсе. Или внешний на внешнем. В противном случае gethostbyaddr() тупо не работает. При этом со стороны сети всё работает.
4. Вся эта байда в принципе лечится явным прописыванием конфигураций, тем более Ansible там и всё такое. Однако, зачастую требуется развесить контейнеры на приватные IPv4, одновременно имея IPv6. И вот тут вы сталкиваетесь с каким-нибудь костылем.
5. Где я напутал?
6. А как делаешь это ты, линуксоид?
github.com . Или ну его — для бэкапов всё равно скрипт писать, а 10 абсолютно разных jail спокойно и штатными средствами делаются? Обновления наверное через ansible.
Приперло меня на виртуализацию на FreeBSD. Дисклеймер — я плотно виртуализацией вообще в продакшене никогда не пользовался (сам) и не предоставлял другим. Не совсем понимаю, с чем столкнусь. Собственно — надо изолировать пару-тройку сайтов. Будет значит там 3-10 виртуалок. Посмотрел я всякие тулзы. CBSD горомоздко и он начал свой shell пилить, что меня немного напрягло. +99% функциональности мне вообще не нужно. BSDPloy — крутая штука. Но опять — много ненужного и вот тулза, коннектор, ansible... выглядит опять перебором. Собственно я тиражировать-то ничего не собираюсь пачками. ezjail — документация слабая и поддержка очень кислая. Пользовался poudriere :) Но он в стороне и часть задач не охватывает типа бэкапов. Понравился вот этот
wiki.freebsd.org вот тут gnop что делает? что-то мысли не понял