https://slinkov.ru/openforum/vsluhforumID3/61413.html Во FreeBSD для включения PF указываем в /etc/rc.conf:<br> pf_enable="YES"<br><br>При необходимости выделения гарантированной полосы пропускания для голосового трафика задействуем ALTQ.<br>Пересобираем ядро с поддержкой ALTQ, указав в конфигурации:<br> options ALTQ<br> options ALTQ_CBQ # Class Bases Queuing (CBQ)<br> options ALTQ_RED # Random Early Detection (RED)<br> options ALTQ_RIO # RED In/Out<br> options ALTQ_HFSC # Hierarchical Packet Scheduler (HFSC)<br> options ALTQ_PRIQ # Priority Queuing (PRIQ)<br> options ALTQ_NOPCC # Required for SMP build<br><br>Далее для организации NAT для машин с SIP телефонами используем следующие настройки пакетного фильтра (/etc/pf.conf):<br><br> # Вернет ошибку, порт заблокирован<br> set block-policy return<br> <br> # тайм-аут UDP сессии должен быть равен или больше, чем время регистрации SIP <br> # Таймер тайм-аута. Обычно достаточно 300 секунд.<br> set timeout { udp.first 300, udp.single 150, https://slinkov.ru/openforum/vsluhforumID3/61413.html#18 Wed, 02 Dec 2009 08:35:48 GMT зачем оно нужно?<br> https://slinkov.ru/openforum/vsluhforumID3/61413.html#17 Wed, 02 Dec 2009 06:21:45 GMT Н-да .. тяжко оно без natd ..<br> https://slinkov.ru/openforum/vsluhforumID3/61413.html#16 Tue, 01 Dec 2009 21:49:13 GMT отошлю к статье Вадима Гончарова:<br><br>http://nuclight.livejournal.com/124348.html<br><br>Тот факт, что на самом деле "перепрыгивание" выполняется на параметры<br>действия, позволяет использовать это для интересных вещей. В частности, с<br>использованием появившегося во FreeBSD 6.2 параметра tag на каждый пакет можно<br>навешивать внутриядерный тег, что в применении со skipto позволяет сделать, к<br>примеру, запоминание, с какого шлюза пришел входящий пакет на машине с каналами<br>к двум разным провайдерам, и ответные пакеты отправлять в тот канал, откуда они<br>пришли (допустим, у вашей машины только один IP-адрес, и сделать fwd на базе<br>внешнего адреса не получится), т.е. реализовать аналог reply-to из pf:<br><br>ipfw add 100 skipto 300 tag 1 in recv $ext_if1 keep-state<br>ipfw add 200 skipto 300 tag 2 in recv $ext_if2 keep-state<br>ipfw add 300 allow { recv $ext_if1 or recv $ext_if2 } # входящие снаружи<br>ipfw add 400 allow in recv $int_if # разрешить ответы на внутреннем проходе<br>ipfw add 500 fwd $gw1 tagged 1 # остались от https://slinkov.ru/openforum/vsluhforumID3/61413.html#15 Tue, 01 Dec 2009 09:37:49 GMT если покажете как сделать аналог reply-to в ipfw буду век вам благодарен<br> https://slinkov.ru/openforum/vsluhforumID3/61413.html#14 Mon, 30 Nov 2009 16:49:38 GMT &gt;pf - плюшки вроде route-to и reply-to<br><br>а что, на ipfw это совершенно невозможно сделать? :)<br> https://slinkov.ru/openforum/vsluhforumID3/61413.html#13 Mon, 30 Nov 2009 15:33:41 GMT &gt; sudo modprobe nf_nat_sip<br><br>Некоторым простые решения кажутся неспортивными :-)<br> https://slinkov.ru/openforum/vsluhforumID3/61413.html#12 Mon, 30 Nov 2009 13:41:54 GMT Как вариант - натить SIP и GRE трафик с помощью IPFW, а остальное гонять через PF.<br><br>З.Ы. Для кричащих "нахрена два фаерволла" - каждый фаер делает то что он умеет, pf - плюшки вроде route-to и reply-to, IPFW - натить проблемный трафик.<br> https://slinkov.ru/openforum/vsluhforumID3/61413.html#11 Mon, 30 Nov 2009 11:35:17 GMT Во-во! Я так же решил эту проблему.<br><br>А что-то дико сложно это делается в PF.<br> https://slinkov.ru/openforum/vsluhforumID3/61413.html#10 Mon, 30 Nov 2009 11:01:41 GMT linux box<br>и<br>sudo modprobe nf_nat_sip<br>решат проблемы с натом сипа<br>