OpenForum RSS: Раздел полезных советов: Как организовать Policy Routing на FreeBSD https://www.opennet.ru/openforum/vsluhforumID3/37059.html ipfw add 100 fwd 10.0.0.2 ip from 10.0.2.0/24 to any <br><br>Если нужно использовать 2 шлюза, то можно воспользоваться:<br> ipfw add fwd $ext_gw_ip ip from $ext_net to any out xmit $ext_int<br><br>URL: <br>Обсуждается: http://www.opennet.ru/tips/info/158.shtml<br> Схема построения PBR на IPFW (PavelR) https://www.opennet.ru/openforum/vsluhforumID3/37059.html#2 Wed, 27 Feb 2008 03:03:24 GMT Схема построения PBR на IPFW<br><br>; Разрешаем траффик, который не надо натить - т.е. из локальных сетей в локальные сети<br>00100 allow all from &lt;localnet&gt; to any out xmit &lt;Локальный интерфейс1&gt;<br>00105 allow all from &lt;localnet&gt; to any out xmit &lt;Локальный интерфейс2&gt;<br>; где-то тут надо бы добавить правила, чтобы локальная сеть видела внешние айпишники рутера<br>; может быть это "100 allow from any to any out xmit &lt;локальные интерфейсы&gt;"<br>; но для начала и так пойдет. Проблема будет в том, что с внешнего айпи пакеты будут <br>;форвардиться во внешний интерфейс, даже если они должны были пойти в локалку.<br><br><br>#Заворачиваем на нат всё что пытается покинуть рутер через внешний интерфейс (внутрений трафик разрешен сотыми правилами)<br>;заворачиваем с разных айпи траффик на разный нат<br>00200 divert 8668 ip from 192.168.0.200 to any out <br>00205 divert 8667 ip from 192.168.0.100 to any out<br><br>; тут можно вставить вырезание пакетов, идущих во внешние сети с приватным src-адресом<br>;00250 reject all from 192.168.0.0/16 to any out Как организовать Policy Routing на FreeBSD (tty) https://www.opennet.ru/openforum/vsluhforumID3/37059.html#1 Fri, 30 Mar 2007 10:08:35 GMT Практическая реализация в ОС FreeBSD<br><br>В ОС FreeBSD policy-based routing осуществляется с помощью механизма ip forwarding и пакетного фильтра ipfw. Чтобы включить возможность пакетной фильтрации в ОС FreeBSD необходимо вставить в файл конфигурации ядра ОС следующие строки:<br>options IPFIREWALL<br>options IPDIVERT<br>options IPFIRWALL_FORWARD<br><br>В результате мы активируем следующие механизмы: пакетный фильтр, NAT (сетевая трансляция адресов, позволяет разделять один канал выхода в Интернет между множеством пользователей) и механизм ip forwarding.<br><br>Рассмотрим следующий вариант. Имеется сервер с ОС FreeBSD с двумя каналами доступа к Интернет (ISP1, ISP2) и двумя подключения локальной сети (отдел А, отдел Б).<br><br>Примем следующую конфигурацию сетевых интерфейсов:<br><br>rl0 - 1.1.1.1 /24(gateway 1.1.1.254 ISP1)<br><br>rl1 - 2.2.2.2 /24(gateway 2.2.2.254 ISP2)<br><br>rl2 - 3.3.3.3/24 (lan1, отдел А)<br><br>rl3 - 4.4.4.4 /24(lan2, отдел Б)<br><br>Поставим такую задачу, чтобы пользователи lan1 выходили в Интернет через первого провайдера