问一下策略路由的基本工作原理

wuzhihe

假设我点击了一个网址的链接，路由是通过什么来区分我这个向外发送的tcp syn包是走那条线路呢？

PF做策略路由的时候，是不是可以这样：

table <cnc> persist file "/etc/cnc"
table <tel> persist file "/etc/tel"

先创建两个表，一个cnc网通，一个tel电信，并且把网通与电信的CIDR网络地址写入"/etc/cnc" 和"/etc/tel" 文件

block out quick on fxp0 from any to <cnc>
block out quick on fxp1 from any to <tel>

最后在设置过滤的时候，让fxp0的电信网卡不能向外发送网通的数据，让fxp1的网通网卡不能向外发送电信的数据。
这样就能限制fxp0的网卡只能发送电信的数据，同理，fxp1的网卡只能发送网通的数据了

这是我的想象，请高手指点

mkdir

原帖由 wuzhihe 于 2007-1-22 23:44 发表
地址也可以用“非”来进行修改，如：

table <goodguys> { 192.0.2.0/24, !192.0.2.5 }

goodguys表将匹配除192.0.2.5外192.0.2.0/24网段得所有地址。

注意表名总是在<>符号的里面。

表也可以由包含IP地址和网络地址的文本文件中输入：

table <spammers> persist file "/etc/spammers"

block in on fxp0 from <spammers> to any

文件 /etc/spammers 应该包含被阻塞的IP地址或者CIDR网络地址，每个条目一行。

block out quick on fxp0 from any to <cnc>
block out quick on fxp1 from any to <tel>

把他们堵住了怎发送呢?

llzqq

LZ的做法是“堵”IP包，这样做的结果是有部分通信无法完成。

正确的做法是“疏”IP包，也就是添加一个默认网关，把需要疏导的部分指向另一个网关。