[MASOCH-L] IPFW + PF FreeBSD

[Breno BF]

prezados,

estou montando uma solucao de balanceamento de links (sem nat, apenas 
redes publicas) utilizando o packetfilter, mas quero manter minhas 
regras de firewall (allow/deny) e (possivel) controle de banda no ipfw 
(por motivos de maior controle, facilidade, simplicidade, etc, nao me 
questione e/ou aconselhe a mudar de ideia, por favor).

com isso em mente numa plataforma freebsd 7, tenho 3 redes:

a - rede com default gw minha 'box'
b - rede que faz ligacao com um link x (1 dos gw balanceado)
c - rede que faz ligacao com um link y (outro gw balanceado)

estou tendo problemas na ordem em que os pacotes da minha rede 'a' 
chegam na interface e sao direcionados aos firewalls (pf e ipfw).

me parece que o pacote chega da minha rede 'a', passa na regra[1] do 
pf de balanceamento que manda ele por um link (x ou y) e sai pela 
interface balanceada. ou seja, apos passar no pf, o pacote nao faz 
'relay' no ipfw. e por isso nao consigo por exemplo bloquear pacotes 
da minha rede 'a' para um host ou net qualquer. consigo apenas 
bloquear pacotes 'entrantes', isto e', que nao passam por minha regra 
(obvio) de balanceamento.

li, que a 'ordem de entrada' dos pacotes eh: interface_in > pf > ipfw 
 > interface_out.

alguem sugere algum 'work around' para contornar isto?


1 - Regra de balanceamento no pf:

pass in on $interface_net_a route-to \
        { ( $interface_net_b $gw_b), ($interface_net_c $gw_c) } 
round-robin \
        from $net_a to any

desculpem caso seja trivial, nao encontrei solucao no google e afins.


abracos,

- breno bf