Freebsd PF實現策略路由案例

1.說明： 此方案適用于可以使用PF做為防火墻的操作系統，包括FREEBSD/OPENBSD/NETBSD。所謂的策略路由就是在服務器同時連接了兩個ISP線路，實現從那個網卡進來的數據包請求，返回給CLIENT時還從那個網卡出去。
2.試驗拓撲：
1.jpg （17.48 KB）
2009-10-26 09:16
圖中的『3接口路由器』可以用WIN2K或LINUX系統啟動IP轉發替代。
3.OPENBSD網絡設置：
Fxp0: 192.168.0.100 Ne3: 192.168.1.100 Gateway: 192.168.0.1
4.PF規則：
# vi /etc/pf.conf
=================================================
if_isp1=fxp0
if_isp2=ne3
gw_isp1=192.168.0.1 gw_isp2=192.168.1.10
block all
pass quick on lo0 all
pass in quick on $if_isp1 reply-to （ $if_isp1 $gw_isp1 ） proto{tcp,udp,icmp} to any keep state pass in quick on $if_isp2 reply-to （$if_isp2 $gw_isp2 ） proto {tcp,udp,icmp} to any keep state
pass out keep state
=================================================
為了試驗方便，以上PF規則沒有對TCP/UDP等協議的端口進行限制。大家根據自己的實際情況修改一下即可。為了方便控制PF的啟動和關閉，下面列出我使用的一個SHELL腳步：
# vi /etc/rc.d/pf.sh
=================================================
#!/bin/sh
# made by llzqq
# pf startup scripts
#
case $1 in
start）
if [ -f /etc/pf.conf ]; then /sbin/pfctl -e -f /etc/pf.conf
fi
stop）
/sbin/pfctl -F all
/sbin/pfctl -d
*）
echo $0 start | stop
esac
exit 0