FreeBSD переброс трафика между двумя интерфейсами

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
novik
мл. сержант
Сообщения: 146
Зарегистрирован: 2018-07-26 23:52:57

FreeBSD переброс трафика между двумя интерфейсами

Непрочитанное сообщение novik » 2021-03-12 6:40:16

woojin писал(а):
2021-03-11 22:03:30
попробовал отправить 192.168.43.0/24 и 172.16.0.0/24 в fib 1
удалив при этом все упоминаниня о них из fib 0
реакция на пинги вообще испарилась...
У вас же множественные таблицы маршрутизации. Какую таблицу использовала программа ping? По умолчанию программа ping использует fib 0, а вы там удалили всё, не удивительно что пинга нет. Указывайте ей fib 1

Код: Выделить всё

setfib 1 ping нужный_вам_IP
«О сколько нам открытий чудных готовит просвещения дух...»™

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

woojin
рядовой
Сообщения: 28
Зарегистрирован: 2020-11-19 16:04:44

FreeBSD переброс трафика между двумя интерфейсами

Непрочитанное сообщение woojin » 2021-03-12 8:01:37

извините, не дурнее паровоза :)
novik писал(а):
2021-03-12 6:40:16
setfib 1 ping нужный_вам_IP
именно так и пинговал изнутри (с test), пингов не было!
снаружи с 172.16.0.10 и с 192.168.43.1 во внутрь пинги не шли

по этому и спрашиваю, где я смог накосячить, если использую две таблицы маршрутизации?

Demis
прапорщик
Сообщения: 496
Зарегистрирован: 2015-05-25 14:36:32

FreeBSD переброс трафика между двумя интерфейсами

Непрочитанное сообщение Demis » 2021-03-12 11:55:30

Правила ipfw такие-же как в первом посте?
Или как-то уже изменены?
(Просто для понимания можно-ли над ними думать с позиции сегодняшнего дня).

И если они не менялись, то у меня вопрос "а какого рожна?" кип-стейты там привязаны/назначены к nfe0, когда в нате указан выходной интерфейс wlan0???
Или у меня с глазами что-то не так???

Кип-стейты это свойство "рабочего" интерфейса ната, т.е. того на котором непосредственно происходит "перевертыш" пакета, если мне правильно помнится (поскольку только в этот момент можно "пометить", тегировать, пакет).

Demis
прапорщик
Сообщения: 496
Зарегистрирован: 2015-05-25 14:36:32

FreeBSD переброс трафика между двумя интерфейсами

Непрочитанное сообщение Demis » 2021-03-12 13:49:13

Demis писал(а):
2021-03-12 11:55:30
Кип-стейты это свойство "рабочего" интерфейса ната, т.е. того на котором непосредственно происходит "перевертыш" пакета, если мне правильно помнится (поскольку только в этот момент можно "пометить", тегировать, пакет).
Понимаю, что написал очень расплывчато и в силу этого может быть истолковано не верно.
Но постараюсь объяснить по другому.

Пакет, пришедший изнутри сети, на интерфейсе rl1 попадает в ipfw, где у пакета возникает "метка" (очень упрощенно).
В случае когда пакет "хочет" выйти "наружу" за пределы ната (через wlan0), то оный должен быть обслужен.
Т.е. пройти через правило "разрешающее/запрещающее" это действо.
Тогда "правило разрешающее это действо" запомнит этот момент (собственно кип-стате, в данном случае),
снабдив ipfw дополнительной информацией (откуда, куда, позже пройдет перевертыш/подмена и пр.),
поднимет (при необходимости) в ipfw обратное правило (именно поэтому оное называют динамическим, увидеть его/их можно по "ipfw -d show") и выпустит в wlan0.
Конечно, если-бы на планшете был tcpdump, то можно было-бы понять "долетел пакет" физически или нет до планшета (и не забывайте, что на самом планшете при выходе в Интернет тоже скорее всего нат поднимается, но сейчас это не важно).
Но там такого обычно нет.

С другой стороны, косвенно, можно увидеть этот момент через логи ipfw или через "ipfw -d show".
При пинге должно увеличиваться число во втором поле (первое поле - номер правила, второе - число пакетов, третье - размер данных, далее само правило).

Вот и возникает вопрос "при тестовом пинге с 0.10 в каком именно правиле идет прирост числа пакетов"?
Только важно еще помнить,
что на счетчики могут влиять другие пакеты сети,
что пакеты пинга могут попадать в другие правила (и часто вовсе не те, на которые ожидаются),
т.е. нужна очень внимательная аналитика получаемых значений диагностики.

Demis
прапорщик
Сообщения: 496
Зарегистрирован: 2015-05-25 14:36:32

FreeBSD переброс трафика между двумя интерфейсами

Непрочитанное сообщение Demis » 2021-03-12 14:14:07

woojin писал(а):
2021-03-11 22:07:16
то и фибы не нужны будут!
они нужны для выполнения первоначальной задачи:
woojin писал(а):
2021-03-08 20:20:23
а с wlan0 весь трафик и все dns'ы, ntp'шки и т.д., должны передаваться в rl1 (т.е. в железку с OpenWRT)
Как разрулить
woojin писал(а):
2021-03-11 22:07:16
после подключения к планшу dhcp клиентом, меняется default gateway с 10.10.10.1 на 192.168.43.1
Это отдельный момент и тоже не сверх шибко сложный.

Аватара пользователя
novik
мл. сержант
Сообщения: 146
Зарегистрирован: 2018-07-26 23:52:57

FreeBSD переброс трафика между двумя интерфейсами

Непрочитанное сообщение novik » 2021-03-12 14:26:43

woojin, тогда всю

Код: Выделить всё

setfib 1 netstat -4nr
покажите, а то
woojin писал(а):
2021-03-11 22:03:30
попробовал отправить 192.168.43.0/24 и 172.16.0.0/24 в fib 1
Это как-то не однозначно.
«О сколько нам открытий чудных готовит просвещения дух...»™

woojin
рядовой
Сообщения: 28
Зарегистрирован: 2020-11-19 16:04:44

FreeBSD переброс трафика между двумя интерфейсами

Непрочитанное сообщение woojin » 2021-03-12 19:08:19

Demis писал(а):
2021-03-12 11:55:30
Правила ipfw такие-же как в первом посте?
да
Demis писал(а):
2021-03-12 11:55:30
И если они не менялись, то у меня вопрос "а какого рожна?" кип-стейты там привязаны/назначены к nfe0, когда в нате указан выходной интерфейс wlan0???
Или у меня с глазами что-то не так???
с глазами всё в порядке
стэйты висят... не помню уже где вычитал, но после прочтённого мне показало уместным вставить их на nfe0
и сразу вопрос: а без них система сама по себе будет ходить через nfe0 не залазия в wlan0?
Demis писал(а):
2021-03-12 13:49:13
Вот и возникает вопрос "при тестовом пинге с 0.10 в каком именно правиле идет прирост числа пакетов"?
Только важно еще помнить,
что на счетчики могут влиять другие пакеты сети,
что пакеты пинга могут попадать в другие правила (и часто вовсе не те, на которые ожидаются),
т.е. нужна очень внимательная аналитика получаемых значений диагностики.
для этого можно отдельное правило с icmp прописать и увидить конкретно пинги
только куда его прописать?
в nat или за его пределами?
Demis писал(а):
2021-03-12 14:14:07
они нужны для выполнения первоначальной задачи:
плохо то что при перезапросе клиентом IP'шника в fib0 тут же прописывается 192.168.43.0/24 и 192.168.43.232
novik писал(а):
2021-03-12 14:26:43
setfib 1 netstat -4nr

Код: Выделить всё

root@test:~ # setfib 1 netstat -4nr
Routing tables (fib: 1)

Internet:
Destination        Gateway            Flags     Netif Expire
10.10.0.0/16       link#3             U          nfe0
127.0.0.1          link#4             UH          lo0
172.16.0.0/24      link#2             U           rl1
192.168.43.0/24    link#5             U         wlan0
root@test:~ #
и на всякий случай setfib 0 netstat -4nr

Код: Выделить всё

root@test:~ # setfib 0 netstat -4nr
Routing tables

Internet:
Destination        Gateway            Flags     Netif Expire
default            10.10.10.1         UGS        nfe0
10.10.0.0/16       link#3             U          nfe0
10.10.10.50        link#3             UHS         lo0
127.0.0.1          link#4             UH          lo0
172.16.0.0/24      link#2             U           rl1
172.16.0.1         link#2             UHS         lo0
172.16.0.1/32      192.168.43.232     UGS       wlan0
192.168.43.0/24    link#5             U         wlan0
192.168.43.1/32    192.168.43.232     UGS       wlan0
192.168.43.232     link#5             UHS         lo0
root@test:~ #

woojin
рядовой
Сообщения: 28
Зарегистрирован: 2020-11-19 16:04:44

FreeBSD переброс трафика между двумя интерфейсами

Непрочитанное сообщение woojin » 2021-03-12 20:32:26

Demis писал(а):
2021-03-12 13:49:13
С другой стороны, косвенно, можно увидеть этот момент через логи ipfw или через "ipfw -d show".

Код: Выделить всё

root@test:~ # ipfw -d show
...
01010    595    52467 allow log udp from any to any via rl1
01020    545    51327 allow log icmp from any to any out via rl1
01025   3876   325584 allow log icmp from any to any in via rl1
...
root@test:~ # ipfw -d show
...
01010    595    52467 allow log udp from any to any via rl1
01020    545    51327 allow log icmp from any to any out via rl1
01025   3878   325752 allow log icmp from any to any in via rl1
...
root@test:~ # ipfw -d show
...
01010    607    53873 allow log udp from any to any via rl1
01020    555    52357 allow log icmp from any to any out via rl1
01025   3983   334572 allow log icmp from any to any in via rl1
...
в данный момент запущены пинги с OpenWRT 172.16.0.10 в 192.168.43.1
но по tcpdump только request на интерфейсе rl1 виден - ответов нет
и кол-во пакетов растёт и на входе и на выходе!

поставил приложение Network Utilites на планш, там есть функция IP discover
так вот она первым шагом определила 192.168.43.1 Huawei
вторым шагом 192.168.43.232 TP-Link с мак адресом Wi-Fi сетевухи вставленной в test

эти данные на какие то мысли смогут навести?

P.S. у меня подозрение что данное приложение каким то образом видит железяку с OpenWRT, т.к. она и есть TP-Link
но вот почему не проходят пинги?
ну и соответственно всё остальное
лог ipfw в этот же момент

Код: Выделить всё

Mar 12 22:29:44 test kernel: ipfw: 1020 Accept ICMP:3.3 172.16.0.1 172.16.0.10 out via rl1
Mar 12 22:29:44 test kernel: ipfw: 1020 Accept ICMP:3.3 172.16.0.1 172.16.0.10 out via rl1
Mar 12 22:29:45 test kernel: ipfw: 1025 Accept ICMP:8.0 172.16.0.10 192.168.43.1 in via rl1
Mar 12 22:30:26 test kernel: ipfw: 1025 Accept ICMP:8.0 172.16.0.10 192.168.43.1 in via rl1

Demis
прапорщик
Сообщения: 496
Зарегистрирован: 2015-05-25 14:36:32

FreeBSD переброс трафика между двумя интерфейсами

Непрочитанное сообщение Demis » 2021-03-12 20:34:20

woojin писал(а):
2021-03-12 19:08:19
да

Demis писал(а): ↑
2021-03-12 11:55:30
И если они не менялись, то у меня вопрос "а какого рожна?" кип-стейты там привязаны/назначены к nfe0, когда в нате указан выходной интерфейс wlan0???
Или у меня с глазами что-то не так???

с глазами всё в порядке
стэйты висят... не помню уже где вычитал, но после прочтённого мне показало уместным вставить их на nfe0
Переформулирую свой вопрос по другому, у Вас например есть правило:
woojin писал(а):
2021-03-08 20:20:23
add 810 allow ip from any to any via nfe0 keep-state
А где, тогда уж, нечто подобное в Ваших правилах для wlan0? Основного интерфейса, который пакеты "крутит/подменяет" в нате...
woojin писал(а):
2021-03-12 19:08:19
для этого можно отдельное правило с icmp прописать и увидить конкретно пинги
только куда его прописать?
в nat или за его пределами?
Подождите что-то прописывать, Вам нужно с текущими достичь понимания...
woojin писал(а):
2021-03-12 19:08:19
а без них система сама по себе будет ходить через nfe0 не залазия в wlan0?
Если "них" это про стейт, то кратко - будет, иначе "них"не будет...
Как статистика по "ipfw -d show" меняется посмотрели?

Обратите внимание, что никакие другие дополнительные атрибуты кроме протокола,
IP-адреса и порта на динамических правилах не проверяются.
woojin писал(а):
2021-03-12 19:08:19
при перезапросе клиентом IP'шника в fib0 тут же прописывается 192.168.43.0/24 и 192.168.43.232
Не спешите, пока. И так кашка начинается.
Попробуйте пока вручную поправлять (только учтите, по дефолту может скидываться раз в 30мин.).
По умолчанию все добавляется в fib 0.
Чтобы добавить в fib 1 нужно так:

Код: Выделить всё

route add -net 192.168.43.1/32 172.16.0.1 -fib 1
Удалить из fib 1

Код: Выделить всё

route delete -net 192.168.43.1/32 172.16.0.1 -fib 1
Просто увидеть default (если хочется, то можно с -fib 1 тоже посмотреть):

Код: Выделить всё

route -n get -inet default
(man route, так на минуточку, не помешает также man ipfw и man natd)

Поменять значение:

Код: Выделить всё

route change default 10.10.10.1 -fib 0
route change default 192.168.43.1 -fib 1
Обратите внимание, что никакие другие дополнительные атрибуты кроме протокола,
IP-адреса и порта на динамических правилах не проверяются.
Это к моей фразе:
Demis писал(а):
2021-03-12 13:49:13
обратное правило (именно поэтому оное называют динамическим

Demis
прапорщик
Сообщения: 496
Зарегистрирован: 2015-05-25 14:36:32

FreeBSD переброс трафика между двумя интерфейсами

Непрочитанное сообщение Demis » 2021-03-12 20:37:09

woojin писал(а):
2021-03-12 20:32:26
01010 607 53873 allow log udp from any to any via rl1 01020 555 52357 allow log icmp from any to any out via rl1 01025 3983 334572 allow log icmp from any to any in via rl1
Ваша задача уловить "где именно" меняется счетчик.
Например в поле
woojin писал(а):
2021-03-12 20:32:26
3983
, или в другом поле, или в поле "последней строки":
woojin писал(а):
2021-03-08 20:20:23
add 65500 deny log all from any to any

Demis
прапорщик
Сообщения: 496
Зарегистрирован: 2015-05-25 14:36:32

FreeBSD переброс трафика между двумя интерфейсами

Непрочитанное сообщение Demis » 2021-03-12 20:40:28

woojin писал(а):
2021-03-12 20:32:26
01010 607 53873 allow log udp from any to any via rl1
01020 555 52357 allow log icmp from any to any out via rl1
01025 3983 334572 allow log icmp from any to any in via rl1
интерфейс rl1 на данном этапе не интересен, т.к. мы уже знаем, что он все верно делает.

Demis
прапорщик
Сообщения: 496
Зарегистрирован: 2015-05-25 14:36:32

FreeBSD переброс трафика между двумя интерфейсами

Непрочитанное сообщение Demis » 2021-03-13 11:41:14

Demis писал(а):
2021-03-12 20:34:20
Попробуйте пока вручную поправлять (только учтите, по дефолту может скидываться раз в 30мин.).
Для автоматизации корректировки defaultrouter по фибам при перезагрузке можно сделать так:

Код: Выделить всё

route_gate1="-net 192.168.43.1/32 172.16.0.1 -fib 1"
route_gw0="default 10.10.10.1 -fib 0"
route_gw1="default 192.168.43.1 -fib 1"
static_routes="gw0 gate1 gw1"
Знакомые строки про static_routes?
Уже попадались в треде не правда-ли?

Но, как было написано выше, это может слетать.
Поскольку dhcp клиент регулярно перезапрашивает инфо от вышестоящего "dhcp-сервера/компа выдавшего lease".
И в случае если, например, планшет вырубится (или просто нарушена связь, ну утащили его в комнату откуда wi-fi не пробивается),
маршрут может слететь.

Если такое будет происходить, то можно воспользоваться методом:

Код: Выделить всё

man dhclient.conf
man dhclient-script
Почитать можно на http://bsdportal.ru/viewtopic.php?f=13&t=28097
Особое внимание обратить на пост http://bsdportal.ru/viewtopic.php?p=174 ... 22#p174157

Demis
прапорщик
Сообщения: 496
Зарегистрирован: 2015-05-25 14:36:32

FreeBSD переброс трафика между двумя интерфейсами

Непрочитанное сообщение Demis » 2021-03-13 13:05:00

Demis писал(а):
2021-03-12 20:34:20
А где, тогда уж, нечто подобное в Ваших правилах для wlan0? Основного интерфейса, который пакеты "крутит/подменяет" в нате...
Для просветления вопроса вставлю картинку нарисованную Вадимом Гончаровым

Код: Выделить всё

                                                 ____            
                                             .-<-|natd|-<-.       
                                            /     ----     \       
                                            |              |       
                                            v              ^       
                                             \->------.    |       
                                                      |   /        
out xmit int0         ________________                v  /
--<--4---3---2---1-<-|                |---<-----4---3---2---1---<---
                     |   роутер с     |                 in recv ext0
внутренняя           |    FreeBSD     | внешняя
сетевуха int0        |                | сетевуха ext0
                     |                |                out xmit ext0
-->--1--2--3--4--->--|________________|--->-----1---2---3---4--->---
in recv int0                                       /  ^              
                                                  /   |
                                            .--<-'     `-<-.
                                           /                |
                                           |      ____      |     
                                            \.->-|natd|->-./      
                                                  ----             
"Сто лет" назад.
Ссылка на оригинал статьи "ipfw: порядок прохождения пакетов, сложные случаи" https://nuclight.livejournal.com/124348.html
Так-же рекомендую почитать, на свежую голову, не только статью, но и апдейты к ней https://nuclight.livejournal.com/125453.html .
Понятно, что там устаревшая информация, но глобально с тех пор схематика не изменилась, фичи добавились, что-то фиксилось.
И на посты пользователей обратить внимание (их там нужно "разворачивать"), например этотhttps://nuclight.livejournal.com/124348 ... 00#t499900

woojin
рядовой
Сообщения: 28
Зарегистрирован: 2020-11-19 16:04:44

FreeBSD переброс трафика между двумя интерфейсами

Непрочитанное сообщение woojin » 2021-03-15 20:53:41

Demis писал(а):
2021-03-12 20:37:09
3983
изменения идут именно во втором поле
Demis писал(а):
2021-03-13 11:41:14
Уже попадались в треде не правда-ли?
да было!
Demis писал(а):
2021-03-13 11:41:14
Если такое будет происходить, то можно воспользоваться методом:
по скольку это тестовый вариант, а не рабочий, я сделал проще: на wlan0 прописал 192.168.43.232 и отключил dhcp клиента
Demis писал(а):
2021-03-12 20:34:20
А где, тогда уж, нечто подобное в Ваших правилах для wlan0? Основного интерфейса, который пакеты "крутит/подменяет" в нате...
а вот этого нет((((
почитаю, что пишут (ниже) и попробую вписать нужное правило в правильное место - после конфиг покажу
Demis писал(а):
2021-03-13 13:05:00
Для просветления вопроса вставлю картинку нарисованную Вадимом Гончаровым
ух!
бурные были выходные - масленица, как ни как)))
надо будет углубиться в чтение!

woojin
рядовой
Сообщения: 28
Зарегистрирован: 2020-11-19 16:04:44

FreeBSD переброс трафика между двумя интерфейсами

Непрочитанное сообщение woojin » 2021-03-19 15:46:14

Demis писал(а):
2021-03-13 13:05:00
Ссылка на оригинал статьи "ipfw: порядок прохождения пакетов, сложные случаи" https://nuclight.livejournal.com/124348.html
Так-же рекомендую почитать, на свежую голову, не только статью, но и апдейты к ней https://nuclight.livejournal.com/125453.html .
Понятно, что там устаревшая информация, но глобально с тех пор схематика не изменилась, фичи добавились, что-то фиксилось.
И на посты пользователей обратить внимание (их там нужно "разворачивать"), например этотhttps://nuclight.livejournal.com/124348 ... 00#t499900
прочитал!
как то смутно представилось, что в NAT должны быть и 172.16.0.1 и 192.168.43.232 и как то между ними должны присутствовать RECV и XMIT
но конкретно как это должно выглядеть в правилах представить себе не могу ((((

Demis
прапорщик
Сообщения: 496
Зарегистрирован: 2015-05-25 14:36:32

FreeBSD переброс трафика между двумя интерфейсами

Непрочитанное сообщение Demis » 2021-03-19 17:21:41

woojin писал(а):
2021-03-19 15:46:14
как это должно выглядеть в правилах представить себе не могу
Найдете (?) отличия от Вашего варианта:

Код: Выделить всё

add 401 check-state

nat 1 config if wlan0 log same_ports reset
add 700 nat 1 log ip from any to any via wlan0
 
# allow all installed connections
add 800 allow tcp from any to any established
# pass ALL into localNet
add 810 allow ip from any to any via nfe0

# DNS for server
add 820 allow log udp from any 53 to any via nfe0
add 830 allow log udp from any to any 53 via nfe0
# NTPD for server
add 840 pass log udp from any to any 123 via nfe0

add 1000 allow log tcp from any to any via rl1
add 1010 allow log udp from any to any via rl1
add 1020 allow log icmp from any to any via rl1

add 2000 allow log tcp from any to any via wlan0 keep-state
add 2010 allow log udp from any to any via wlan0
add 2020 allow log icmp from any to any via wlan0

add 65500 deny log all from any to any

woojin
рядовой
Сообщения: 28
Зарегистрирован: 2020-11-19 16:04:44

FreeBSD переброс трафика между двумя интерфейсами

Непрочитанное сообщение woojin » 2021-03-19 20:10:15

Demis писал(а):
2021-03-19 17:21:41
add 2000 allow log tcp from any to any via wlan0 keep-state
keep-state остался только тут

woojin
рядовой
Сообщения: 28
Зарегистрирован: 2020-11-19 16:04:44

FreeBSD переброс трафика между двумя интерфейсами

Непрочитанное сообщение woojin » 2021-03-19 21:07:54

Код: Выделить всё

nat 1 config if wlan0 log same_ports reset
add 700 nat 1 log ip from any to any in recv wlan0
add 710 nat 1 log ip from any to any out xmit wlan0
вот так пинги заходили от 172.16.0.10 к 192.168.43.1

но!
по tcpdump'у:
на wlan0 пинги идут 192.168.43.232 <-> 192.168.43.1 - от сетевухи!
на rl1 пинги идут 172.16.0.10 <-> 192.168.43.1 - напрямую!
это вот как понимать?
получается NAT работает как то однобоко?
и при этом с 172.16.0.10 не работает nslookup и пинги на любой адрес снаружи

Demis
прапорщик
Сообщения: 496
Зарегистрирован: 2015-05-25 14:36:32

FreeBSD переброс трафика между двумя интерфейсами

Непрочитанное сообщение Demis » 2021-03-19 21:44:00

Уже лучше.
Но не забывайте про ранее приобретенные знания
Demis писал(а):
2021-03-11 12:21:19
Теперь, после внимательного изучения, останется решить вопрос "а как через эти фибы "гонять" в ipfw и nat???"
Читаем внимательно посты:
https://forums.freebsd.org/threads/ipfw ... ibs.57727/
https://jnotes.ru/multirouting-freebsd.html
И подгоняем примеры под себя.
Т.е. Вы должны были придти к примерно такому написанию:

Код: Выделить всё

add 2000 setfib 1 tcp from any to any via wlan0 keep-state
или
add 2000 setfib 1 tcp from 172.16.0.10 to 192.168.43.1 via wlan0 keep-state
или
add 2000 setfib 1 tcp from 172.16.0.0/24 to 192.168.43.0/24 via wlan0 keep-state
Почитайте "Пример №5" про два провайдера отсюда: https://www.lissyara.su/articles/freebs ... /ipfw_nat/
Не забудьте, что 0-ой фиб тоже нужно прописать. Трафик нужно весь разделить соответствующими фибами (либо забудьте про первоначальную задачу
woojin писал(а):
2021-03-08 20:20:23
должны передаваться в rl1 (т.е. в железку с OpenWRT) ни как не контактируя с системой
и попробуйте сделать хоть как-то, поэкспериментируйте, для начала, ежики-то точно не передохнут...).

Для пингов нужны правила протокола icmp.
Для nslookup протокол udp или то, что мной не было про оные написано значит можно не включать голову?
woojin писал(а):
2021-03-15 20:53:41
А где, тогда уж, нечто подобное в Ваших правилах для wlan0? Основного интерфейса, который пакеты "крутит/подменяет" в нате...
Почитайте раздел "Пример файла правил #2:" на https://docs.freebsd.org/ru_RU.KOI8-R/b ... -ipfw.html
там фибов нет, но порядок построения правил с натом неплохо расписан.

Про однобокость и пример. Перечитайте вопросы под статьей Гончарова.
Там вроде рассматривалось.

В любом случае сначала нужно проанализировать примеры и потом принимать действия...