From e67c73304b60dd77509e467a468d2cf4def60a59 Mon Sep 17 00:00:00 2001 From: Daniel Jakots Date: Fri, 13 Apr 2018 11:45:06 -0400 Subject: [PATCH] doc route-to --- HowtoOpenBSD/PacketFilter.md | 22 ++++++++++++++++++++++ 1 file changed, 22 insertions(+) diff --git a/HowtoOpenBSD/PacketFilter.md b/HowtoOpenBSD/PacketFilter.md index 38800d33..f5cccc0a 100644 --- a/HowtoOpenBSD/PacketFilter.md +++ b/HowtoOpenBSD/PacketFilter.md @@ -134,6 +134,28 @@ Ainsi, au maximum 50 000 états pourront être créés pour 192.0.2.10:80 et 192 Attention, les 2 limites (la globale et celle spécifique à la règle) ne sont pas séparées. Si la limite globale est configuré à 150 000 (`set limit states 150000`) et que 50 000 états sont atteints pour 192.0.2.10:80, alors il ne restera que 100 000 états possible globalement. +#### Routage particulier + +Pour avoir un routage spécifique, i.e. différent de celui donné par la table de +routage, on peut agir avec le mot-clé `route-to`. + +Généralement c'est sous la forme + +~~~ +pass in on $lan_if ... to ! route-to ($otherext_if 192.0.2.254) +~~~ + +Cela ne matche que pour le lan et non pas pour le routeur lui-même. Dans ce +cas, on peut utiliser une règle du type + +~~~ +pass out from $egress:0 ... route-to 192.0.2.254@$otherext_if nat-to 192.0.2.253 +~~~ + +La partie nat-to est nécessaire car sinon les paquets vont partir avec l'IP de +l'interface principale et l'opérateur réseau en face va voir cela comme une +usurpation et va refuser le paquet + ## FAQ ### pfctl: warning: namespace collision with \ global table.