https://opennet.ru/openforum/vsluhforumID10/5613.html Добрый день коллеги, <br><br>столкнулся с задачей которую никак не могу решить верно (с помощью одного роутера freebsd). <br><br>сеть состоит из 3-х хостов R0, R1, H1. Необходимо обеспечить доступность H1 по обоим ip адресам, пусть для простоты будет tcp 110, при этом строгое условие - H1 должен отправлять пакеты отправителю с того адреса на который получен запрос.<br><br>Схематично: https://c.radikal.ru/c33/2112/a8/c337fae01d2f.jpg<br><br>R0 (не изменяемая часть)<br>ip A.A.A.A/24<br>================================<br>R1 (em0) (alias делать запрещено)<br>ip A.A.A.A+1/24<br>gw A.A.A.A<br><br>R1 (em2)<br>ip A.A.A.A+2/24<br>gw A.A.A.A<br><br>R1 (em1)<br>ip B.B.B.B/24<br>================================= <br>H1 (em0)<br>ip B.B.B.B+1/24 alias0 ip B.B.B.B+2/24<br>gw B.B.B.B<br><br><br>Как видно классический PBR и NAT, эта задача решается fwd (next-hop, c подменой mac), давнешний конфиг для этого (nat отдельным демоном) :<br><br>ipfw add 1000 divert 8778 ip from B.B.B.B+1 to any<br>ipfw add 1100 divert 8668 ip from B.B.B.B+2 to any<br><br>ipfw add 3000 fwd A.A.A.A log ip from https://opennet.ru/openforum/vsluhforumID10/5613.html#4 Mon, 13 Dec 2021 11:43:16 GMT Я с FreeBSD не работал и поэтому по синтаксису буду ошибаться.<br>На роутере вам надо поднять дополнительную таблицу маршрутизации с помощью setfib (?)<br>Что-то типа: [code]setfib 1 route add default A.A.A.A via em2[/code]<br>В дефолтной таблице маршрутизации 0 у вас уже должен быть маршрут по умолчанию через A.A.A.A via em0<br>В правилах файрвола указать что-то типа: [code]ipfw add 1100 setfib 1 divert 8668 ip from B.B.B.B+2 to any<br>ipfw add 4100 setfib 1 divert 8668 ip from any to A.A.A.A+2[/code] чтобы пакеты с адреса B.B.B.B+2 и портами 8668 попадали во вторую таблицу маршрутизации.<br>Думаю идея понятна?<br><br>Но это ещё не всё.<br>Пускай у вас приходит пакет на A.A.A.A+2 порт 8668, он отправляется на адрес B.B.B.B+2 и попадает на интерфейс em0_alias, но проблема в том что на хосте H1 только один шлюз по умолчанию через интерфейс em0, соответственно ответ с хоста H1 пойдет через интерфейс em0 с адресом B.B.B.B+1 и роутере R1 он не попадет в правила файрволла, так как правилом [code]ipfw add 1100 divert 8668 ip from B. https://opennet.ru/openforum/vsluhforumID10/5613.html#3 Mon, 13 Dec 2021 06:42:55 GMT &gt;[оверквотинг удален]<br>&gt;&gt; своим шлюзом по умолчанию R1, тогда ответ на пакет пришедший на <br>&gt;&gt; второй интерфейс будет отправляться с этого же интерфейса.<br>&gt; гхм. поясните с адресацией, на мой взгляд ваше утверждение не верно. Как <br>&gt; я понимаю решение о маршрутизации принимает R1 согласно своей таблицы маршрутизации. <br>&gt; На это никак не может влиять H1. Т.е. вне зависимости от <br>&gt; таблиц H1, R1 будет руководствоваться своей таблицей с той же проблемой <br>&gt; mac+ip по первому найденному соответствию.<br>&gt; причем не зависимо как получен трафик через B.B.B.B или например D.D.D.D (если <br>&gt; ввести дополнительную адресацию между R1 и H1, где D.D.D.D адрес R1 <br>&gt; и шлюз по умолчанию для H1) <br><br>man ipfw<br>ключевое слово setfib<br> https://opennet.ru/openforum/vsluhforumID10/5613.html#2 Sun, 12 Dec 2021 16:38:32 GMT &gt; На хосте H1 надо сделать дополнительную таблицу маршрутизации для второго интерфейса со <br>&gt; своим шлюзом по умолчанию R1, тогда ответ на пакет пришедший на <br>&gt; второй интерфейс будет отправляться с этого же интерфейса.<br><br>гхм. поясните с адресацией, на мой взгляд ваше утверждение не верно. Как я понимаю решение о маршрутизации принимает R1 согласно своей таблицы маршрутизации. На это никак не может влиять H1. Т.е. вне зависимости от таблиц H1, R1 будет руководствоваться своей таблицей с той же проблемой mac+ip по первому найденному соответствию.<br><br>причем не зависимо как получен трафик через B.B.B.B или например D.D.D.D (если ввести дополнительную адресацию между R1 и H1, где D.D.D.D адрес R1 и шлюз по умолчанию для H1)<br><br> https://opennet.ru/openforum/vsluhforumID10/5613.html#1 Sun, 12 Dec 2021 13:33:54 GMT На хосте H1 надо сделать дополнительную таблицу маршрутизации для второго интерфейса со своим шлюзом по умолчанию R1, тогда ответ на пакет пришедший на второй интерфейс будет отправляться с этого же интерфейса.<br>