diff --git a/HowtoOpenBSD/PacketFilter.md b/HowtoOpenBSD/PacketFilter.md index dc050728..7b3960c8 100644 --- a/HowtoOpenBSD/PacketFilter.md +++ b/HowtoOpenBSD/PacketFilter.md @@ -184,7 +184,7 @@ Pour avoir un routage spécifique, c'est-à-dire différent de celui donné par Ça se configure sous la forme suivante : ~~~ -pass in on $lan_if ... to ! route-to { ($otherext_if 192.0.2.254) } +pass in on $lan_if ... to ! route-to 192.0.2.254 ~~~ Cela ne matche que pour les paquets provenants du LAN et non pas pour ceux provenants du routeur lui-même, ni pour une réponse à un paquet provenant de l'extérieur. @@ -192,7 +192,7 @@ Cela ne matche que pour les paquets provenants du LAN et non pas pour ceux prove Dans ce cas, on peut utiliser une règle du type : ~~~ -pass out from $egress:0 ... keep state route-to { ($otherext_if 192.0.2.254) } nat-to 192.0.2.253 +pass out from $egress:0 ... keep state route-to 192.0.2.254 nat-to 192.0.2.253 ~~~ La partie nat-to est nécessaire, sinon les paquets vont partir sur l'interface secondaire avec l'IP de l'interface principale. Aussi, l'opérateur réseau en face risque de voir cela comme une usurpation et refuser le paquet. @@ -226,8 +226,8 @@ Si un routeur a deux sorties et qu'on le joint par la connexion secondaire, la r On peut modifier ce comportement, pour que la réponse sorte forcément par là où elle est arrivée : ~~~ -pass in quick on $wan1 from … to self reply-to {($wan1 $wan1_gw)} -pass in quick on $wan2 from … to self reply-to {($wan2 $wan2_gw)} +pass in quick on $wan1 from … to self reply-to ($wan1) +pass in quick on $wan2 from … to self reply-to ($wan2) ~~~ > Note : Attention, l'IP autorisée par cette règle aura un accès complet au routeur.