Нужен шаблон настройки WAN1 -> LAN1 и WAN2 -> LAN2

rubic

@Konstanti said in Нужен шаблон настройки WAN1 -> LAN1 и WAN2 -> LAN2:

Те по таблице состояний PF определит , через какой интерфейс прошел первый пакет , туда и отправит ответный .

Судя по всему, не совсем так, раз уж в правилах делается этот reply-to

Пример проброса:

pass in quick on vmx0.102 reply-to (vmx0.102 188.xxx.xx.201) inet proto tcp from <hRDPACCESS> to <hBUZZER> port = rdp flags S/SA keep state label "USER_RULE: NAT "

werter

Те по таблице состояний PF определит , через какой интерфейс прошел первый пакет , туда и отправит ответный .

Фигушки. Отправит в дефолтный ВАН. И только явное указание GW спасает галактику.

@Борис

Я просто хочу собрать мини пс c 4 сетевыми картами

Откройте для себя мыло палмо.. VLAN.
ОДНА сетевая на пф-боксе + (любая) Б/У мыльница от ТП-Линка\Д-линка с openwrt на борту купленная на авито за 300 рэ спасет галактику и в этот раз. Да еще и ви-фи получите в придачу.

lucas1

@rubic
Не понял это:
"В настройках WAN1 и WAN2 нужно явно указать Gateway".
Оба интерфейса PPPoE. И поля Gateway там нет.

Или это в правилах для WANs указать Gateway?
Речь идет о трафике из интернета, а не в интернет.

rubic

@lucas1 said in Нужен шаблон настройки WAN1 -> LAN1 и WAN2 -> LAN2:

@rubic
Не понял это:
"В настройках WAN1 и WAN2 нужно явно указать Gateway".
Оба интерфейса PPPoE. И поля Gateway там нет.

Про PPPoE не подскажу, возможно pfSense в этом случае делает все нужное за нас. Дайте в Diagnostics > Command Prompt команду pfctl -sr | grep reply-to, если есть правила pass соответствующие вашим проброшенным портам, то ничего настраивать не нужно

Konstanti

@rubic Собственно это и имел в виду, что пакет пойдет обратно через интерфейс ,на который он пришел . И что reply-to не работает в случае виртуальных интерфейсов.

lucas1

@rubic
Дело в том, что сейчас WAN2 нет. т.е. предстоит переход на конфигурацию WAN1 и WAN2.
Поэтому хочу максимально подготовиться, чтобы меньше было недорозумений.

Команда pfctl -sr | grep reply-to для WAN1 выдала набор правил reply-to, например:
pass in quick on pppoe0 reply-to (pppoe0 10.x.x.x) inet proto tcp from any to <DVR08> port = 377xx flags S/SA keep state label "USER_RULE: NAT "

Будем считать как указал Konstanti, что table state содержит всю необходимую информацию для автоматического распределения пакетов на нужные интерфейсы WAN1 и WAN2.

werter

@lucas1

Оба интерфейса PPPoE. И поля Gateway там нет.

Проверил. При ПОДНЯТОМ pppoe появляется GW. И пользовать можно для явного указания в правилах fw.

rubic

@Konstanti Я всего лишь хочу продчеркнуть, что сами по себе sates не обеспечивают прохождение возвратного трафика через исходный входящий интерфейс (в struct state, если углублятся, попросту нет инфы о нем). Это разные вещи. Если нет reply-to, то ответный трафик пойдет через default gateway. А наличие reply-to в случае Static IP интерфейса pfSense, например, определяется явным указанием gateway в настройках интерфейса. pfSense делает многое за нас, это и хорошо и плохо одновременно. Приходится помнить эти нюансы.

Konstanti

@rubic Я просто не так выразился . Естественно , что таблица состояний служит для других целей. Просто PF сам создает правила с нужным синтаксисом , и все работает. А чтобы понять , как это работает , приходится ставить голую freebsd с установленным PF , и уже в ней копаться для тестирования и отладки

lucas1

This post is deleted!

lucas1

This post is deleted!