Не работает конструкция reply-to

Коллеги, добрый день.
Имеется проблема следующего плана:
Имеется шлюз на OpenBSD_4.7
К шлюзу подключены 2 провайдера. На шлюзе включен ssh для удаленного доступа.
Один из каналов провайдера является дефолтным (прописан в /etc/mygate)
Не работает конструкция следующего вида (фрагмент pf.conf):

# RULES
# Rules for external
pass in quick on $ext_if_lank proto tcp from any to $ext_ip_lank port ssh \
reply-to ($ext_if_lank $ext_gw_lank) synproxy state ( max-src-conn-rate 5/300, \
overload flush global ) #Access to gate (ssh) for ISP Lanktelekom
pass in quick on $ext_if_tenz proto tcp from any to $ext_ip_tenz port ssh \
reply-to ($ext_if_tenz $ext_gw_tenz) synproxy state ( max-src-conn-rate 5/300, \
overload flush global ) #Access to gate (ssh) for ISP Tenzortelekom

Канал $ext_if_lank $ext_gw_lank является дефолтным.
При попытке подключения по ssh через $ext_if_tenz канал анализ трафика на интерфейсе $ext_if_tenz показывает, что ответные пакеты уходят по дефолтному маршруту несмотря на явное указание reply-to...

Подскажите, может кто сталкивался с подобной проблемой? В какую сторону копать?

Аватар пользователя mineev

4.8?

В 4.7 было и у меня вроде такое. Сейчас 4.8. До этой конструкции ещё не дошёл, пока проверить не могу.

Аватар пользователя Riskkman

4.8!

Буду пробовать переводить шлюз на OpenBSD 4.8.
О результатах обязательно отпишу.

Аватар пользователя Riskkman

4.8!

Коллеги, доброе утро!
Перевод шлюза с OBSD 4.7 на OBSD 4.8 к сожалению не решил проблему работоспособности приведенной выше конструкции :-(
Но, в 4.8 оказалась работоспособной следующая конструкция:

# RULES
# Rules for external
pass in quick on $ext_if_lank proto tcp from any to $ext_ip_lank port ssh \
keep state ( max-src-conn-rate 5/300, overload flush global ) \
reply-to ($ext_if_lank $ext_gw_lank)#Access to gate (ssh) for ISP Lanktelekom
pass in quick on $ext_if_tenz proto tcp from any to $ext_ip_tenz port ssh \
keep state ( max-src-conn-rate 5/300, overload flush global ) \
reply-to ($ext_if_tenz $ext_gw_tenz)#Access to gate (ssh) for ISP Tenzortelekom

напрашивается вывод, что synproxy state с reply-to не работает?
в 4.7 к сожадению уже нет возможности прверить :-(

Аватар пользователя test00

Кстати, в

Кстати, в интернете мне не удалось найти ни одного внятного описания того, что делает reply-to, dup-to и route-to. Скупые объяснения в мане не только не самодостаточны, но и попросту ложны. Нужно понимать, какие параметры вообще есть у пакета, и что для пакета делают данные опции. Там всё очень не просто. Офиц. фак гласит "вот есть примеры, они работают, делайте так же и будет работать у вас". Почему работают "официальные примеры" так же не обсуждается. К примеру, gw для пакета с помощью этих опций не сменить. Что значит магическое "создаётся состояние" -- тоже не ясно. Т.е. понятно что есть state в смысле pf, но не понятно как потом использовать созданное состояние, как с этим работать. В общем, стандартные хакерские разработки, никакого обоснования, структуры, объяснений -- всё на уровне "вот мы накодили и вот так оно работает, кому нужны детали -- смотрите в код". А ещё у OpenBSDшников есть любовь добавлять фичи в код, а соответствующим образом их документировать лишь год спустя.

Аватар пользователя MikeKMV

test00, Букву Ш

test00, Букву Ш пропустил в одном слове.
Вот из-за постоянных косяков с пф до сих пор и сижу на 4.5 версии
_____________
Нет более кривого инструмента, чем GNU-тый инструмент.

_____________
Нет более кривого инструмента, чем GNU-тый инструмент.