forum.lissyara.su

Почитал статью http://www.lissyara.su/articles/freebsd ... /pbr+ipfw/ и обсуждение http://forum.lissyara.su/viewtopic.php?t=3014
- за деталями логика теряется, skipto раньше не юзал, торможу че-то

Опустим детали, пусть только ethernet, пусть файрвол пропускает все порты.
Пусть есть 3 сетевые карты: Можно ли сделать с помощью ipfw и natd так, чтобы пакеты уходили теми же путями, что и пришли?

Хочу понять принцип (реально задачка примерно такая: имею gw1=defaut, ip3/nm3 ходит в инет, на ip1 висят основные сервисы, а на ip2 хочу повесить vpn с входом через gw2, вторую mx-запись также с входом через gw2 и т.п.).

Схема, описание, правила, ссылки - любая информация подойдет.

http://forum.lissyara.su/viewtopic.php?f=4&t=20814

тут уже боролись. с переменным успехом...

hizel писал(а):

Код: Выделить всё

uname -a

FreeBSD 7.2-STABLE

terminus писал(а):http://forum.lissyara.su/viewtopic.php?f=4&t=20814

тут уже боролись. с переменным успехом...

Спасибо, читаю

terminus писал(а):http://forum.lissyara.su/viewtopic.php?f=4&t=20814
тут уже боролись. с переменным успехом...

У меня заработал такой вариант: С setfib че-то пока не врубаюсь, документации нет.

Такой вариант не прошел: По умолчанию работает таблица 0, поскольку в 0 - все путем, пытаюсь настроить только 1.
Чем отличаются команды
Что происходит при Как использовать новые таблицы маршрутизации?

Just for record, как грится...
я тут сейчас ради интереса игрался с setfib в ipfw и выяснил, что на проходе OUT эта конструкция не влияет на трафик

У nuclight'a было обьяснение про то как трафику проходящему через рутер, на основе таблицы маршрутизачии, назначается, через какой сетевой интерфейс он должен быть отослан и на какой рутер. Так вот, я не знаю всей кухни, но выходит, что если делать setfib на проходе IN то позже на проходе OUT эта метка учитывается системой и в соответствии с ней назначаются сетевой интерфейс и рутер. А если сделать setfib на проходе OUT (когда сетевой интерфейс и рутер уже были назначенны перед этим) то система не станет еще раз пересчитывать параметры передачи как при fwd - она не учитывает, что мы поставили новую метку setfib. Вот такие пироги. Поэтому-то мой пример у kpp не заработал тогда...

---

Чем отличаются команды
setfib 1 netstat -rn
и
setfib -1 netstat -rn

Ничем. Почитайте man setfib - можно применять обе формы.

Что происходит при
ipfw add setfib 1 ip from ...

К пакету прикрепляется внутренняя метка, увидев которую, система понимает, что для расчета маршрута для передачи пакета, надо использовать информацию не из таблици маршрутизации по-умолчанию, а брать ту таблицу, чей номер указан в setfib.

Как использовать новые таблицы маршрутизации?

Дофига применений. Джайлы например можно вешать на отдельные таблицы маршрутизации. Можно разделять трафик проходящий через рутер на несколько потоков и направлять через разных провайдеров (вручную или динамически). Применений море.

terminus писал(а):... на проходе OUT эта конструкция не влияет на трафик
...
ipfw add setfib 1 ip from ...
- К пакету прикрепляется внутренняя метка, увидев которую, система понимает, что для расчета маршрута для передачи пакета, надо использовать информацию не из таблици маршрутизации по-умолчанию, а брать ту таблицу, чей номер указан в setfib.

Вроде идею уловил, но почему-то не работает: - в этом примере я пытаюсь поставить метку на пакеты, которые приходят из сети провайдера 2

ping ip2 снаружи через провайдера 2 - работает
при попытке установить соедиение ip2:1723 (vpn) tcpdump показывает входящие пакеты, а назад ничего не уходит...

А в таком варианте все работает: