PF NAT и три аплинка с BGP
Добавлено: 2010-02-07 19:51:08
Всем привет. Есть сеть /22, три аплинка с поднятыми BGP сессиями. Сейчас используем фаерволл IPFW и KERNEL NAT.
В локалке куча серых подсетей каждая из которых натится под одним из белых адресов. Плохо то, что очень много правил в фаерволе типа
и таких правих, не считая фильтрацию и шейпинг с помощю таблиц, около 60. Тазик переваривает 300 мегабит трафика. Но сдается мне что такая схема неправильная.
Теперь вопрос: стоит ли перейти на PF NAT, и если так, то как это сделать. Потому, что если пакет уходит например через аплинк 1, а ответ на него приходит через аплинк 3, то правило пф ната на 3 аплинке ничего не знает о пришедшем пакете и не обрабатывает его.
В локалке куча серых подсетей каждая из которых натится под одним из белых адресов. Плохо то, что очень много правил в фаерволе типа
Код: Выделить всё
ipfw nat N config ip <белый адрес>
ipfw nat N ip from <серый адрес> to any out
ipfw nat N ip from any to <белый адрес>Теперь вопрос: стоит ли перейти на PF NAT, и если так, то как это сделать. Потому, что если пакет уходит например через аплинк 1, а ответ на него приходит через аплинк 3, то правило пф ната на 3 аплинке ничего не знает о пришедшем пакете и не обрабатывает его.