Routage particulier (avec route-to) - amélioration et précisions
This commit is contained in:
parent
6d22f063da
commit
97eb1b85cf
|
@ -179,25 +179,23 @@ La table ne se vide pas avec un rechargement de pf (`pfctl -f /etc/pf.conf`).
|
||||||
|
|
||||||
#### Routage particulier (avec route-to)
|
#### Routage particulier (avec route-to)
|
||||||
|
|
||||||
Pour avoir un routage spécifique, i.e. différent de celui donné par la table de
|
Pour avoir un routage spécifique, c'est-à-dire différent de celui donné par la table de routage, on peut agir avec le mot-clé `route-to`.
|
||||||
routage, on peut agir avec le mot-clé `route-to`.
|
|
||||||
|
|
||||||
Généralement c'est sous la forme
|
Ça se configure sous la forme suivante :
|
||||||
|
|
||||||
~~~
|
~~~
|
||||||
pass in on $lan_if ... to ! <lan> route-to ($otherext_if 192.0.2.254)
|
pass in on $lan_if ... to ! <lan> route-to { ($otherext_if 192.0.2.254) }
|
||||||
~~~
|
~~~
|
||||||
|
|
||||||
Cela ne matche que pour le lan et non pas pour le routeur lui-même. Dans ce
|
Cela ne matche que pour les paquets provenants du LAN et non pas pour ceux provenants du routeur lui-même, ni pour une réponse à un paquet provenant de l'extérieur.
|
||||||
cas, on peut utiliser une règle du type
|
|
||||||
|
Dans ce cas, on peut utiliser une règle du type :
|
||||||
|
|
||||||
~~~
|
~~~
|
||||||
pass out from $egress:0 ... route-to 192.0.2.254@$otherext_if nat-to 192.0.2.253
|
pass out from $egress:0 ... keep state route-to { ($otherext_if 192.0.2.254) } nat-to 192.0.2.253
|
||||||
~~~
|
~~~
|
||||||
|
|
||||||
La partie nat-to est nécessaire car sinon les paquets vont partir avec l'IP de
|
La partie nat-to est nécessaire, sinon les paquets vont partir sur l'interface secondaire avec l'IP de l'interface principale. Aussi, l'opérateur réseau en face risque de voir cela comme une usurpation et refuser le paquet.
|
||||||
l'interface principale et l'opérateur réseau en face va voir cela comme une
|
|
||||||
usurpation et va refuser le paquet
|
|
||||||
|
|
||||||
#### Options nat-to vs rdr-to vs binat-to
|
#### Options nat-to vs rdr-to vs binat-to
|
||||||
|
|
||||||
|
|
Loading…
Reference in a new issue