https://slinkov.ru/openforum/vsluhforumID1/83112.html Доброго времени суток ! :)<br><br>Настроиваю pbr на FreeBSD порт 1194 TCP/UDP, поднимаю pbr на PF. TCP порт работает как надо,т.е. пакет приходит на один из внешних интерфейсов ($IF1,$IF2) порт 1194 и с него же уходит. Но по UDP происходит следующее, пакет приходит на интефейс, но уходит не согласна правилу в pf'e, а уходит через default route минуя файрвол.<br><br>Я возможно чегото не понимаю с UDP, почему так происходит? И возможна ли работа pbr UDP портов. Проверял с ipfw происходит абсолютно тоже самое.<br><br><br>Как решил эту проблему, в 7.1 появилась поддержка нескольких таблиц маршрутизации и приходится запускать несколько сервисов для разных интерфейсов, все работает, но хотелось бы разобраться с PBR и понять в чем проблема.<br><br>мои настройки:<br>pf rules:<br>pass in quick on $IF1 reply-to ($IF1 $GW1) proto {tcp udp} from &lt;internet&gt; to $ADDR1 port 1194<br>pass in quick on $IF2 reply-to ($IF2 $GW2) proto {tcp udp} from &lt;internet&gt; to $ADDR2 port 1194<br><br>default route:<br>#route get default<br>route to: default<br>destination: de https://slinkov.ru/openforum/vsluhforumID1/83112.html#5 Mon, 26 Jan 2009 11:50:23 GMT Тоже столкнулся с проблемой роутинга UDP<br><br>проблема решается, когда нужная служба работает на одном интерфейсе, а не биндится на все.<br>тут же можно использовать и порт форвардинг для проброса UDP<br> https://slinkov.ru/openforum/vsluhforumID1/83112.html#4 Sat, 29 Nov 2008 21:18:45 GMT &gt; Как и всегда, рекомендую включить мозг и подумать, чем <br>&gt;отличается SNAT от DNAT. <br>&gt; Ваше мнение насчет "я не увижу src адрес клиента" <br>&gt;ошибочно. <br><br>DNAT это обычный портредирект? я почему-то решил что dynamic nat. Извините я не силен в абривиатурах iptables. <br><br>во фре это делается так (pf'ом)<br><br>rdr extIF proto udp from &lt;internet&gt; to extADDR port https -&gt; dmzADDR port https<br>nat on extIF proto udp from dmzADDR port https to &lt;internet&gt; -&gt; extADDR<br><br>да в таком случае буду видеть src адрес.<br><br>а если имеенно натить внешнии адреса на внутренние то не будут, но разговор не об этом.<br><br>советы по настройки линукса врятли хоть как-то помогут мне во freebsd.<br><br>В любом случае спасибо за ответы, линух какнибудь поковыряю.<br><br> https://slinkov.ru/openforum/vsluhforumID1/83112.html#3 Sat, 29 Nov 2008 13:27:39 GMT &gt;&gt;если интерфейс/адрес не основной,т.е. сервис на нем не ждет соединений, то входящий <br>&gt;&gt;пакет проходит сквозь DNAT + маркировку маркером в таблице соединений. <br>&gt;&gt;Исходящий от сервиса пакет проходит сквозь восстановление маркера соединения, обратный DNAT, а <br>&gt;&gt;потом маршрутизируется туда куда надо, в зависимости от значения маркера. <br>&gt;&gt;Если нужно просто обеспечить привязку к сетевому интерфейсу, то, видимо, надо использовать <br>&gt;&gt;только маркировку без DNAT. <br>&gt;<br>&gt;Можно поподробней про DNAT и маркировку? <br><br> Это всё под линуксом. Ищите в советах на этом сайте, есть статья по этому поводу.<br>Собственно чтобы искать было проще - вот ссылка http://www.opennet.ru/openforum/vsluhforumID3/42663.html<br><br>&gt;<br>&gt;В freebsd тегирование пакетов ни к чему не приводит. В моем случае <br>&gt;исходящий UDP пакет идет с адреса куда смотрит роут по умолчанию, <br>&gt;т.е. пакет приъодит на внешний адрес 1.1.1.1 $IF1, а уходит ответ <br>&gt;с интерфейса lo0 и адреса 127.0.0.1, с TCP исходящий=входящему адресу и <br>&gt;проблем нет.<br><br> Расписыва https://slinkov.ru/openforum/vsluhforumID1/83112.html#2 Sat, 29 Nov 2008 12:29:23 GMT &gt;если интерфейс/адрес не основной,т.е. сервис на нем не ждет соединений, то входящий <br>&gt;пакет проходит сквозь DNAT + маркировку маркером в таблице соединений. <br>&gt;Исходящий от сервиса пакет проходит сквозь восстановление маркера соединения, обратный DNAT, а <br>&gt;потом маршрутизируется туда куда надо, в зависимости от значения маркера. <br>&gt;Если нужно просто обеспечить привязку к сетевому интерфейсу, то, видимо, надо использовать <br>&gt;только маркировку без DNAT. <br><br>Можно поподробней про DNAT и маркировку? <br><br>В freebsd тегирование пакетов ни к чему не приводит. В моем случае исходящий UDP пакет идет с адреса куда смотрит роут по умолчанию, т.е. пакет приъодит на внешний адрес 1.1.1.1 $IF1, а уходит ответ с интерфейса lo0 и адреса 127.0.0.1, с TCP исходящий=входящему адресу и проблем нет. А если повесить сервис на внутреннем интерфейсе и натить внешнии запросы на него (если это заработает), то я не увижу src адрес клиента, что меня не устраивает.<br><br>Мне кажется тут проблема имеенно с реализацией ip в freebsd или какт https://slinkov.ru/openforum/vsluhforumID1/83112.html#1 Sat, 29 Nov 2008 05:42:03 GMT <br><br>я правильно понимаю, что сервис запущен один, он открывает один сокет, а входящих интерфейсов (ip-адресов сервиса) несколько ?<br><br>В линухе я на эту тему (кстати, с этим же сервисом) сделал так:<br><br>сервис слушает один айпи (+ порт :) ). Доступен по нескольким айпи-адресам.<br><br>если интерфейс/адрес не основной,т.е. сервис на нем не ждет соединений, то входящий пакет проходит сквозь DNAT + маркировку маркером в таблице соединений.<br><br>Исходящий от сервиса пакет проходит сквозь восстановление маркера соединения, обратный DNAT, а потом маршрутизируется туда куда надо, в зависимости от значения маркера.<br><br>Если нужно просто обеспечить привязку к сетевому интерфейсу, то, видимо, надо использовать только маркировку без DNAT.<br><br><br>PS: не забывайте про tcpdump.<br>