kernel 裡面要有：

options         IPFIREWALL
options         IPFIREWALL_DEFAULT_TO_ACCEPT
options         IPFIREWALL_FORWARD

然後用 ipfw 控制：

(如果 default gateway 是 HiNet)
ipfw add fwd [tanet's gateway] ip from [tanet's ip] to any

(如果是 TANet)
ipfw add fwd [hinet's gateway] ip from [hinet's ip] to any

--
* Gea-Suan Lin  (public key: http://infomath.nctu.edu.tw/~gslin/key.txt)
* If you cannot convince them, confuse them.           -- Harry S Truman

==> 在 gslin. 的文章中提到:
: > 裝了二片，分別接TANET及HINET，
: > 在/etc/rc.conf
: > 似乎走錯了路！
: > 一樣走錯
: > 請問該如何設定才會正確走？煩請指點。 不勝感激。
: kernel 裡面要有：
: options               IPFIREWALL
: options               IPFIREWALL_DEFAULT_TO_ACCEPT
: options               IPFIREWALL_FORWARD
: 然後用 ipfw 控制：
: (如果 default gateway 是 HiNet)
: ipfw add fwd [tanet's gateway] ip from [tanet's ip] to any
: (如果是 TANet)
: ipfw add fwd [hinet's gateway] ip from [hinet's ip] to any
感謝回答！
　動用到ipfw會不會太矯枉過正了，並且要找到所有TANET的IP及所有的非TANET的IP，
是不容易的，而且rule也太長了，

　目前主要是squid對外捉不同的資料，暫時以route add將TANET IP指向TANET 的Router
將Hinet成　defaultrouter="61.220.XXX.33"，但想用TANET的IP連上站則不能使用。

有人有這方面的經驗嗎？..困擾了好久了！
--
 ★  發信站: 白色情迷 (140.122.77.49)  來自: 61-224-180-39.HI [0m

==> 在 tsRu@snowBBS (天涯一孤客) 的文章中提到:
: ==> 在 gslin. 的文章中提到:
: 感謝回答！
: 　動用到ipfw會不會太矯枉過正了，並且要找到所有TANET的IP及所有的非TANET的IP，
: 是不容易的，而且rule也太長了，
: 　目前主要是squid對外捉不同的資料，暫時以route add將TANET IP指向TANET 的Rout
: 將Hinet成　defaultrouter="61.220.XXX.33"，但想用TANET的IP連上站則不能使用。
: 有人有這方面的經驗嗎？..困擾了好久了！

說明一下，最困擾的是無法由外面使用該主機的IP:163.20.XXX.8進站!
所有的Service都不行。  有辦法二全其美嗎?
--
 ★  發信站: 白色情迷 (140.122.77.49)  來自: 61-224-180-39.HI [0m

哎，man 一下 ipfw 去了解我在說什麼，不就不會誤會了...

ipfw add fwd [tanet's gateway] ip from [tanet's ip] to any

上面的意思是，如果 source ip 是你那台機器在 tanet 上的 ip 時，就把這個
packet 丟到 tanet's gateway 這個 ip 去。

另外一個例子則是把 source ip 是你那台機器 hinet 上的 ip 時，丟到 hinet's
gateway。

--
* Gea-Suan Lin  (public key: http://infomath.nctu.edu.tw/~gslin/key.txt)
* If you cannot convince them, confuse them.           -- Harry S Truman

※ 引述《tsRu....@snow.ice.ntnu.edu.tw (天涯一孤客)》之銘言：

  這一篇看看是不是你要的
  http://netlab.kh.edu.tw/document/小港國小ADSL/adsl2_1.htm
--
Ξ Origin: 中興大學天樞資訊網 <b...@bbs.nchu.edu.tw> [FROM: 61-217-102-154.]

==> ¦b gslin. 峹 ì:
: > ·P ¦^ ¡I
: > ʥΨìipfw·| ·| ÁBªP¹L ¤F¡A åB­n Ҧ³TANET ºIP ΩҦ «DTANET ºIP¡A
: > ¬O ®e A ӥBrule¤] Ӫ ¤F¡A
: > ثe¥D­n¬Osquid ¥~ ¦P ơA ȮɥHroute add±NTANET IP ¦VTANET ºRout
: > ±NHinet ¡@defaultrouter="61.220.XXX.33"¡A ·Q ÎTANET ºIP³s¤W «h ϥΡ
: > ¤H ³o 譱 ¸g ܡH..§xÂZ¤F¦n¤[¤F¡I
: «u¡Aman ¤@¤U ipfw ¥h¤F ѧڦb ¡A ´N ·|»~·|¤F...
: ipfw add fwd [tanet's gateway] ip from [tanet's ip] to any
: ¤W ·N ¬O¡A¦pªG source ip ¬O§A ¥x b tanet ¤W º ip ɡA´N ³o Ó
: packet ì tanet's gateway ³o Ó ip ¥h¡C
: ¥t¥~¤@ ӨҤl«h¬O â source ip ¬O§A ¥x ¹ hinet ¤W º ip ɡA ì hinet's
: gateway¡C
: --
: * Gea-Suan Lin  (public key: http://infomath.nctu.edu.tw/~gslin/key.txt)
: * If you cannot convince them, confuse them.           -- Harry S Truman

¤S ұz ѵ ¡A

¡@¥u¬O ·Q ʥΨìipfw¡A±z ³]©w»P ڪ ݨD¦n ¤] ®t ¡A

¡@ ثe §xÂZ¦b 󤣯 ¤G ÕIP ѥ~ ±`³s¶i ӡA

¥u ³] ¨defaultrouter¡@ ºIP¤~¥i¥H¡A ¦] ٤ ¤j¤F ѡF§A ӬO
¬O¥X¥h ³]©w§a¡A ڭn¶i Ӫ ®@¡I
--
  ¹  µo«H ¸: զⱡ°g (140.122.77.49)   ӦÛ: 61-224-179-140.H [0m

原因就是無論用什麼 IP 進來的，都是掛 defaultroute 的 IP 出去
所以 reply 時的 src IP Address 不一定等於人家 request 時的 dst IP Address
這樣 connection 當然就建不起來了。

解法最簡單的就是用 ipfw fwd。

--
Yung-Zen Lai

※ 引述《Gea-Suan Lin <gs...@Infomath.remove.math.NCTU.edu.tw>, 看板: TW_386BSD》之銘言：
: > 感謝回答！
: > 動用到ipfw會不會太矯枉過正了，並且要找到所有TANET的IP及所有的非TANET的IP，
: > 是不容易的，而且rule也太長了，
: > 目前主要是squid對外捉不同的資料，暫時以route add將TANET IP指向TANET 的Router
: > 將Hinet成　defaultrouter="61.220.XXX.33"，但想用TANET的IP連上站則不能使用。
: > 有人有這方面的經驗嗎？..困擾了好久了！
: 哎，man 一下 ipfw 去了解我在說什麼，不就不會誤會了...
: ipfw add fwd [tanet's gateway] ip from [tanet's ip] to any
: 上面的意思是，如果 source ip 是你那台機器在 tanet 上的 ip 時，就把這個
: packet 丟到 tanet's gateway 這個 ip 去。
: 另外一個例子則是把 source ip 是你那台機器 hinet 上的 ip 時，丟到 hinet's
: gateway。
: --
: * Gea-Suan Lin  (public key: http://infomath.nctu.edu.tw/~gslin/key.txt)
: * If you cannot convince them, confuse them.           -- Harry S Truman
謝謝又勞您解答，

　只是不想動用到ipfw，您的設定與我的需求好像也略有差異，

　目前的困擾在於不能二組IP均能由外部正常連進來，

只有設成defaultrouter　的IP才可以，原因還不大了解；你的應該是
是出去的設定吧，我要進來的哦！

--
 [1;36m※Post by  [37msheng          [36mfrom  [33m61-224-179-140.HINET-IP. [m
 [1;37m◢    ◣ ███◣  [0;34m▂▂▂▂▂▂▂▂▂▂▂▂▂▂▂▂▂▂▂ [m
 [1;36m█◢◣█  █  █      [36m風 [37m與 [33m塵埃 [37m的對話  [31mBBS  [30m˙ [1;35m wdbbs.net [m
 [1;34m◥◤◥◤ ███◤  [0;34m▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇ [m

※ 引述《YZX <YZX....@snow.ice.ntnu.edu.tw>, 看板: TW_386BSD》之銘言：
: > 謝謝又勞您解答，
: > 　只是不想動用到ipfw，您的設定與我的需求好像也略有差異，
: > 　目前的困擾在於不能二組IP均能由外部正常連進來，
: > 只有設成defaultrouter　的IP才可以，原因還不大了解；你的應該是
: > 是出去的設定吧，我要進來的哦！
: 原因就是無論用什麼 IP 進來的，都是掛 defaultroute 的 IP 出去
: 所以 reply 時的 src IP Address 不一定等於人家 request 時的 dst IP Address
: 這樣 connection 當然就建不起來了。
: 解法最簡單的就是用 ipfw fwd。
: --
: Yung-Zen Lai

　謝謝您的說明，光改routing table　是不夠的，

要讓connection建起來，defaultroute 的 IP必需要ipfw fwd到正確的gateway。

--
 [1;36m※Post by  [37msheng          [36mfrom  [33m61-224-179-140.HINET-IP. [m
 [1;37m◢    ◣ ███◣  [0;34m▂▂▂▂▂▂▂▂▂▂▂▂▂▂▂▂▂▂▂ [m
 [1;36m█◢◣█  █  █      [36m風 [37m與 [33m塵埃 [37m的對話  [31mBBS  [30m˙ [1;35m wdbbs.net [m
 [1;34m◥◤◥◤ ███◤  [0;34m▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇ [m

這句話是對的，在沒有設 static route 或是用 ipfw 做 policy routing 時，都
會走 default gateway。

這句話是錯的，對方連到你的某個 ip，你就會用那個 ip 跟對方建立連線。

source ip 不是 kernel 幫你決定的，是 application 要自己用 bind() 決定，
只是你不指定的時候會用 default ip 連線而已。

假設現在有一台機器 (實際上也的確有這台機器) 同時有 TANet & HiNet 的 IP，
他的兩個 IP & Gateway 分別是：

* 211.72.48.2 (Netmask: 255.255.255.248, Gateway: 211.72.48.1)
  HiNet's ADSL IP，同時他的 IP & Gateway 也是這台機器的 default IP &
  default Gateway。

* 140.113.54.13 (Netmask: 255.255.255.0, Gateway: 140.113.54.254)
  TANet's IP。

我要連到 www.nctu.edu.tw & www.google.com，在 ipfw 不設定的情況下，兩者
走的路線都是：

(過去的 packets)
211.72.48.2 -> 211.72.48.1 -> ... (HiNet's Backbone) ... -> NCTU
211.72.48.2 -> 211.72.48.1 -> ... (HiNet's Backbone) ... -> Google

(回來的 packets)
NCTU -> ... (HiNet's Backbone) ... -> 211.72.48.1 -> 211.72.48.2
Google -> ... (HiNet's Backbone) ... -> 211.72.48.1 -> 211.72.48.2

如果我在 connect() 前用 bind() 讓連線到 www.nctu.edu.tw 的 source IP 是
140.113.54.13，那麼：

(過去的 packets)
140.113.54.13 -> 211.72.48.1 -> ... (HiNet's Backbone) ... -> NCTU
211.72.48.2 -> 211.72.48.1 -> ... (HiNet's Backbone) ... -> Google

(回來的 packets)
NCTU -> ... (交大校內 Backbone) ... -> 140.113.54.254 -> 140.113.54.13
Google -> ... (HiNet's Backbone) ... -> 211.72.48.1 -> 211.72.48.2

回來的 path 是看 dst ip 所決定的，而回來的 dst ip 也就是出去的 source
ip。而這件事情，不屬於 kernel 管的，是 application 管的，也就是說，你必
須修改 squid 的 source code，讓他決定要走 ADSL 線路的時候，source IP 變
成 HiNet 給你的 IP，這樣的話回來就會走 HiNet 的出國線路。

然後，另外一個問題在於，如果今天 HiNet 的 ADSL 斷掉了，因為你的 Default
Gateway 設到 HiNet ADSL Gateway 去，所以你整個 proxy 就癱瘓了。

我們提到的 ipfw 就是在解決這個問題：送出去的封包依據 source IP 決定要怎
麼走。

所以在最理想的狀況下 (改 source code，同時加上 ipfw 的設定)，會變成這樣：

(過去)
140.113.54.13 -> 140.113.54.254 -> ... (交大校內 Backbone) ... -> NCTU
211.72.48.2 -> 211.72.48.1 -> ... (HiNet's Backbone) ... -> Google

(回來)
NCTU -> ... (交大校內 Backbone) ... -> 140.113.54.254 -> 140.113.54.13
Google -> ... (HiNet's Backbone) ... -> 211.72.48.1 -> 211.72.48.2

--
* Gea-Suan Lin  (public key: http://infomath.nctu.edu.tw/~gslin/key.txt)
* If you cannot convince them, confuse them.           -- Harry S Truman

==> 在 gslin. 的文章中提到:
: 這句話是對的，在沒有設 static route 或是用 ipfw 做 policy routing 時，都
: 會走 default gateway。
: > 所以 reply 時的 src IP Address 不一定等於人家 request 時的 dst IP Address
: > 這樣 connection 當然就建不起來了。
: 這句話是錯的，對方連到你的某個 ip，你就會用那個 ip 跟對方建立連線。
: > 解法最簡單的就是用 ipfw fwd。
: source ip 不是 kernel 幫你決定的，是 application 要自己用 bind() 決定，
: 只是你不指定的時候會用 default ip 連線而已。
: 假設現在有一台機器 (實際上也的確有這台機器) 同時有 TANet & HiNet 的 IP，
: 他的兩個 IP & Gateway 分別是：
: * 211.72.48.2 (Netmask: 255.255.255.248, Gateway: 211.72.48.1)
:   HiNet's ADSL IP，同時他的 IP & Gateway 也是這台機器的 default IP &
:   default Gateway。
: * 140.113.54.13 (Netmask: 255.255.255.0, Gateway: 140.113.54.254)
:   TANet's IP。
: 我要連到 www.nctu.edu.tw & www.google.com，在 ipfw 不設定的情況下，兩者
: 走的路線都是：
: (過去的 packets)
: 211.72.48.2 -> 211.72.48.1 -> ... (HiNet's Backbone) ... -> NCTU
: 211.72.48.2 -> 211.72.48.1 -> ... (HiNet's Backbone) ... -> Google
: (回來的 packets)
: NCTU -> ... (HiNet's Backbone) ... -> 211.72.48.1 -> 211.72.48.2
: Google -> ... (HiNet's Backbone) ... -> 211.72.48.1 -> 211.72.48.2
: 如果我在 connect() 前用 bind() 讓連線到 www.nctu.edu.tw 的 source IP 是
: 140.113.54.13，那麼：
: (過去的 packets)
: 140.113.54.13 -> 211.72.48.1 -> ... (HiNet's Backbone) ... -> NCTU
: 211.72.48.2 -> 211.72.48.1 -> ... (HiNet's Backbone) ... -> Google
: (回來的 packets)
: NCTU -> ... (交大校內 Backbone) ... -> 140.113.54.254 -> 140.113.54.13
: Google -> ... (HiNet's Backbone) ... -> 211.72.48.1 -> 211.72.48.2
: 回來的 path 是看 dst ip 所決定的，而回來的 dst ip 也就是出去的 source
: ip。而這件事情，不屬於 kernel 管的，是 application 管的，也就是說，你必
: 須修改 squid 的 source code，讓他決定要走 ADSL 線路的時候，source IP 變
: 成 HiNet 給你的 IP，這樣的話回來就會走 HiNet 的出國線路。
: 然後，另外一個問題在於，如果今天 HiNet 的 ADSL 斷掉了，因為你的 Default
: Gateway 設到 HiNet ADSL Gateway 去，所以你整個 proxy 就癱瘓了。
: 我們提到的 ipfw 就是在解決這個問題：送出去的封包依據 source IP 決定要怎
: 麼走。
: 所以在最理想的狀況下 (改 source code，同時加上 ipfw 的設定)，會變成這樣：
: (過去)
: 140.113.54.13 -> 140.113.54.254 -> ... (交大校內 Backbone) ... -> NCTU
: 211.72.48.2 -> 211.72.48.1 -> ... (HiNet's Backbone) ... -> Google
: (回來)
: NCTU -> ... (交大校內 Backbone) ... -> 140.113.54.254 -> 140.113.54.13
: Google -> ... (HiNet's Backbone) ... -> 211.72.48.1 -> 211.72.48.2
: --
: * Gea-Suan Lin  (public key: http://infomath.nctu.edu.tw/~gslin/key.txt)
: * If you cannot convince them, confuse them.           -- Harry S Truman

想請問一下，Squid的source code要改那裡？
方便講一下嗎？....　　先謝謝您的詳細解說。

  有個想法可以改Freebsd的kernel source code，一次解決上述來、回封包的問題。

　另外，照您的說法，用修改routing table是無法解決squid出去IP的問題囉！
--
 ★  發信站: 白色情迷 (140.122.77.49)  來自: 163.20.163.72 [0m

找 connect() 這個 function，在 connect() 前用 bind() 指定你要用哪個 ip。

我們這邊的做法比較懶，直接多架幾台機器，然後用 pac 比較快 :p

回來的部分你不能控制，而出去的部分 ipfw 就可以做到了。

是，只改 routing table 沒辦法。

--
* Gea-Suan Lin  (public key: http://infomath.nctu.edu.tw/~gslin/key.txt)
* If you cannot convince them, confuse them.           -- Harry S Truman