В том же pf PBR сделан слегка «через-жопно». Если использовать «pass in quick on … route-to (out_if $out_if_gw)», то следовало бы ограничить область действия данного правила, так, чтобы пакеты с TTL < 2 не forward'ились (согласно RFC). Но, увы, дремучий ipfilter могёт, а pf — нет. Есть конечно, отдельная область, типа «stealth gateway», но по-хорошему, зачастую на практике надо чтоб tracert из локалки честно показывал первый хоп, а не высвечивал IP провайдера. Так что там про дизайн вы говорили?… :-)
![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png)
timeasmymeasure
> Мало ли до чего может извратиться
Date: 2011-08-03 07:31 am (UTC)