РЕШЕНО: проверьте конец сообщения
Диаграмма сети: https://i.imgur.com/5mc2woO.jpg
Это называется асимметричной маршрутизацией. Я этого не хочу. Это происходит потому, что, несмотря на то, что запрос поступает в eth0, как и предполагалось, Centos распознает, что исходный IP-адрес клиента также принадлежит одной из локальных подсетей серверов, и переходит к ответу клиенту, используя эту локальную подсеть, которая принадлежит eth1. Ответное сообщение осуществляется локально (коммутатор), минуя PFsense, который затем завершает соединение через 30 секунд, потому что он никогда не видел ответа сервера.
В PFsense есть возможность обойти весь трафик, принадлежащий одной и той же подсети, а в Centos есть варианты для смягчения части этой проблемы. net.ipv4.conf.default.rp_filter = 1 net.ipv4.conf.all.arp_announce = 1
Когда все эти параметры активированы как в Pfsense, так и в centos, таймауты были увеличены с 30 до ~ 800 секунд, но они по-прежнему происходят как часы.
Я прочитал, что должен иметь возможность отмечать каждый пакет, прибывающий @ eth0, и устанавливать политику, чтобы всегда всегда отвечать на помеченные пакеты, используя eth0.
PS: причина, по которой сервер имеет обе подсети (192.168.0.x и 10.10.10.x), заключается в том, что и клиент, и сервер находятся на разных vlan, а сервер служит двум целям. 1 - общий ресурс SMB, который всегда должен быть доступен через eth0 @ vlan 1680 для защиты от брандмауэра. 2- FTP для клонов / резервных копий дисков клиентов, очень ресурсоемкий трафик, к которому всегда следует обращаться через eth1 @ vlan 1010, чтобы обойти маршрутизатор pfsense, чтобы не перегружать его (у меня много клиентских ПК делают резервные копии одновременно) .
Я был бы очень признателен за информацию о лучшем курсе действий.
РЕШЕНИЕ:
Я решил свою проблему, используя как ip route, так и ip rule. ip route используется для создания нового маршрута, ip rule используется для указания Linux, когда использовать новый маршрут.
1 - Создайте новую таблицу маршрутизации, которая будет использоваться только для решения этой проблемы маршрутизации: echo 101 myroute >> / etc / iproute2 / rt_tables
2 - Заполните myroute инструкциями для ответа на весь трафик на IP-адрес вашего Pfsense box: ip route добавить значение по умолчанию через 192.168.0.4 таблица 101
Сама по себе таблица маршрутизации myroute пока ни на что не влияет. Мне нужно правило политики, чтобы активировать его. После активации он будет работать вместе со стандартной таблицей маршрутизации, которая не изменится.
3 - Добавить правило: добавить правило ip из таблицы 192.168.0.78 myroute
4 - очистить таблицу маршрутизации для перезагрузки настроек: ip route flush cache
Обратите внимание, что при этом на весь трафик, отправленный на IP-адрес сервера 192.168.0.78 через локальную подсеть (коммутатор), будет ответ через шлюз 192.168.0.4, и, таким образом, локальные соединения не будут работать.
Чтобы понять, почему ваша новая таблица заменяет таблицу маршрутизации по умолчанию, вам следует прочитать эту замечательную ссылку, посвященную этой проблеме.
https://kindlund.wordpress.com/2007/11/19/configuring-multiple-default-routes-in-linux/
