Добрый вечер сообществу! Подскажите, плз: есть роутер с двумя
аплинками, за ним сетка. Фаервол организован на связке pf+ipfw. На
ipfw реализован биллинг и шейпинг, на pf - нат (реализация автора
биллинга). Часть сетки пробросили на второго аплинка средствами pf. Но
стали жаловаться клиенты, что не могут связаться с серверами контры.
Tcpdump-ом на внешнем интерфейсе вижу запросы и ответы, но клиент
жалуется, что связи нет. Увы, посмотреть, что творится в сторону
клиента сейчас не могу - клиенты ходят через pptp, а сейчас около 150
подключенных. pf.ctl:
set limit states 128000
set optimization aggressive
nat pass on re0 from 10.0.0.0/8 to any -> re0
rdr on re0 from ${OIF2} to any -> ${GW2}
pass in route-to { (re0 ${GW2}) } from 10.5.5.0/24 to !10.5.0.0/21 keep state
pass in on re0 reply-to ${OIF2} keep state
Я, к сожалению, pf знаю плохо - больше по ipfw. Подскажите, всё ли
нормально в конфиге? Может, у контры есть какие-то особенности в
протоколе, наподобие ftp? Спасибо!
