[FUG-BR] RES: Quagga + PBR + FreeBSD

Renato Frederick frederick em dahype.org
Terça Novembro 18 17:40:34 BRST 2008 

Patrick,

Muito estranho,

Se no meu firewall eu tenho 2 sessões BGP e faço por ex:

#ipfw add 1 fwd ISP2 all from IP_INTERNO to any

Não funciona, o IP_INTERNO vai para o ISP que está mais próximo, como o BGP
mandou.


Porém,

Se neste firewall eu deixo 1 única sessão BGP com o ISP1 e faço 


Ipfw add 1 fwd FIREWALL2 all from IP_INTERNO to any

(sendo firewall2 um Segundo firewall com única sessão com o ISP2) funciona
:-|


Quero algo parecido que você, na verdade, o tráfego de entrada já coloquei
prepends para forçar a voltar por um ISP. Agora o tráfego de saída irei
forçar conforme a origem.

Por exemplo.

Rede 100.100.0.0/21 sair ISP1
Rede 100.100.8.0/21 sair ISP2

A volta já está OK.


No cisco eu faria um PBR na interface LAN e ele ainda, caso o gateway do
ISP2 estivesse down, faria o tráfego sair pelo ISP1. Com o IPFW também acho
que isto não vai funcionar, se o ISP2 cair ele vai continuar mandando o FWD
para lá...



o route get mostra a rota que o zebra entregou...




> 
> Renato, tem certeza que a tabela do quagga tem precedencia sobre o
> firewall?
> 
> Um `ipfw add 1 fwd 127.0.0.1 all from me to not me` nao interromple
> completamente a comunicacao do bsd com quagga?
> 
> E um `ipfw add 1 fwd 200.1.1.1 all from me to any out` nao manda toda
> sua saida pro gw 200.1.1.1?
> 
> Acho isso estranho :)
> 
> Eu faço isso com pf route-to porem o Daemon BGP é o OpenBGP. Faço por
> ASN pois a integração do OpenBGP com o pf é fantástica com "set
> rtlabel"
> e "set pftable", permitindo por rede, por ASN destino, origem ou
> transito,com ou sem balanceamento,e  ainda com failver do tipo "caiu um
> peer, suspende as politicas locais e o BGP resolve quem sai por
> onde"...
> 
> O que voce quer vejo sendo possivel com ipfw fwd sim, mas nao entendi
> esse lance do quagga ter precedencia sobre o firewall.
> 
> Um
> 
> "route get <destino>" nao mostra nessa box a rota populada pelo quagga?
> Se mostra, o processamento do firewall acontece antes.
> 
> --
> Patrick Tracanelli
> 
> FreeBSD Brasil LTDA.
> Tel.: (31) 3516-0800
> 316601 em sip.freebsdbrasil.com.br
> http://www.freebsdbrasil.com.br
> "Long live Hanin Elias, Kim Deal!"
> 
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Mais detalhes sobre a lista de discussão freebsd