Re: [obsdfr-misc] Re: PF et plusieurs fournisseur d'accès Internet

[Laurent Cheylus <foxy AT free POINT fr>]

Bonjour,

On Tue, Nov 17, 2009 at 10:19:47AM +0100, Raphael Berlamont wrote:
> Par contre, je n'ai pas utilisé "reply-to" (ce qui pourrait-être ma
> solution) car je n'ai pas trouvé d'exemple concret dans la doc (ni sur
> le net), et ne comprends pas trop son cadre d'utilisation et son
> fonctionnement. Je suis preneur si vous avez des infos.

C'est bien "reply-to" qu'il faut utiliser pour spécifier la gateway de
sortie pour les paquets retour (SYN/ACK en réponse à la connexion
entrante vers vos serveurs). Effectivement, il n'y a pas beaucoup de doc
sur le sujet (pas d'exemple dans la manpage pf.conf, ni dans la FAQ, pas
mieux dans le "Book of PF"...).

Extrait de la manpage pf.conf :

reply-to 

The reply-to option is similar to route-to, but routes packets that pass
in the opposite direction (replies) to the specified interface.
Opposite direction is only defined in the context of a state entry, and
reply-to is useful only in rules that create state.  It can be used on
systems with multiple external connections to route all outgoing packets
of a connection through the interface the incoming connection arrived
through (symmetric routing enforcement).

Voir ce post qui donne un exemple de règle PF avec reply-to :

http://lists.freebsd.org/pipermail/freebsd-pf/2005-November/001615.html

A++ Laurent