PF FreeBSD два ISP два VLAN

[SVD 6]

Помогите пожалуйста натировать трафик с одного vlan8 в IPS1 а с vlan6-13 в ISP2.
Вроде читаю и делаю но ничего не получаеться.

тут читал да и много чего пречитал сижу неделю долблю. конфигов 8 уже настрочил.
http://dreamcatcher.ru/2009/12/28/   pf-Часть-2-Расширенная-конфигурация

получалось только так но насколько я понял это кривая конфигурация так как ловит трафик на на внешнем интерфейсе.

ext_if1 = "igb0"
ext_if2 = "vlan4"
ext_gw1 = "26.74.251.1"
ext_gw2 = "6.38.18.1"

set limit states 16000000
set optimization aggressive
set limit src-nodes 160000
set limit table-entries 160000
nat-anchor "ftp-proxy/*"

nat on $ext_if1 from 10.8.0.0/20 to any -> $ext_if2  (клиенты под сети жалуются на пинг в танках)
nat on $ext_if1 from 10.0.0.0/8 to any -> $ext_if1
#  route packets from any IPs on $ext_if1 to $ext_gw1 and the same for $ext_if2 and $ext_gw2
pass out on $ext_if1 route-to ($ext_if2 $ext_gw2) from $ext_if2 to any
pass out on $ext_if2 route-to ($ext_if1 $ext_gw1) from $ext_if1 to any

10.8 улетает на isp2

10.6 10.11 10.13  на isp1

мне нужно грубо раскидать вланы по каналам. 

 

Попробовал ещё одну конфигурацию более правильную вроде как

ext_if1 = "igb0"
ext_if2 = "vlan4"
ext_gw1 = "xx.xx.250.1"
ext_gw2 = "xx.xx.18.1"
lan_net = "10.0.0.0/8"

set limit states 16000000
set optimization aggressive
set limit src-nodes 160000
set limit table-entries 160000
nat-anchor "ftp-proxy/*"

nat on $ext_if1 from 10.6.0.0/20 to any -> $ext_if1
nat on $ext_if1 from 10.11.0.0/20 to any -> $ext_if1
nat on $ext_if1 from 10.13.0.0/20 to any -> $ext_if1
nat on $ext_if1 from 10.18.0.0/20 to any -> $ext_if1
nat on $ext_if2 from 10.8.0.0/20 to any -> $ext_if2

#проброс без балансировки (согласно списку адресов)
pass in quick on vlan6 route-to ($ext_if1 $ext_gw1) from 10.6.0.0/20 to !$lan_net keep state
pass in quick on vlan8 route-to ($ext_if2 $ext_gw2) from 10.8.0.0/20 to !$lan_net keep state
pass in quick on vlan11 route-to ($ext_if1 $ext_gw1) from 10.11.0.0/20 to !$lan_net keep state
pass in quick on vlan13 route-to ($ext_if1 $ext_gw1) from 10.13.0.0/20 to !$lan_net keep state
pass in quick on vlan18 route-to ($ext_if1 $ext_gw1) from 10.18.0.0/20 to !$lan_net keep state


# general "pass out" rules for external interfaces
pass out on $ext_if1 proto tcp from any to any flags S/SA modulate state
pass out on $ext_if1 proto { udp, icmp } from any to any keep state
pass out on $ext_if2 proto tcp from any to any flags S/SA modulate state
pass out on $ext_if2 proto { udp, icmp } from any to any keep state

#  route packets from any IPs on $ext_if1 to $ext_gw1 and the same for $ext_if2 and $ext_gw2
pass out on $ext_if1 route-to ($ext_if2 $ext_gw2) from $ext_if2 to any
pass out on $ext_if2 route-to ($ext_if1 $ext_gw1) from $ext_if1 to any

вроде все работает. на пинг пока незнаю или повлияло. но почему то в tcpdump на внешних интерфейсах начинают светиться dhcp запросы с внутренней сети и на ibg0  светятся запросы src серых ip внутренней сети. Вообщем голимотья.

 

система freebsd 9.3. Помогите советом или ссылкой. или может изначально неправильный инструмент для этого. может через setfib делать надо??

[vovchokig 35]

Какой биллинг(в смысле ipfw)? В nodeny первый вариант очень хорошо работает , можно даже одного клиента направить на определенный шлюз.

В ipfw нужно добавить 

ifOut='vlan72'

ifOut1='vlan80'

 

${f} add 200 skipto 500 ip from any to any via ${ifOut}

${f} add 201 skipto 500 ip from any to any via ${ifOut1}

 

${f} add 400 skipto 450 ip from any to any recv ${ifOut}

${f} add 401 skipto 450 ip from any to any recv ${ifOut1}

 

${f} add 2050 deny ip from any to any via ${ifOut}

${f} add 2051 deny ip from any to any via ${ifOut1}

 

http://forum.nodeny.com.ua/index.php?topic=635.0

Відредаговано 2015-05-13 15:21:22 vovchokig

[SVD 6]

как бы хочется реализовать нат сугубо PF 

[supportod 1]

man setfib