Что оно делает?

http://tldp.org/HOWTO/Adv-Routing-HOWTO/lartc.rpdb.simple.html

Если я правильно понял.

Есть машина. На ней физический интерфейс - rl0. На нем два внешних IP адреса: $IP1 и $IP2. Ну и есть гейтвей для выхода интернет - $GW1. Есть VPN, с виртуальным интерфейсом tun0, подсеть 10.10.0.0/16 . Через этот VPN ходишь в интернет через внешний IP адрес ($IP2).

Надо сделать так, чтобы когда используешь VPN и коннектишься на $IP1 (там поднят веб-сайт), то соединение шло через GW1, а не через внутренний интерфейс.

Это для pf выглядит вот так: pass in on tun0 route-to (rl0 $GW1) from $VPNSUBNET to $IP1

Да, похоже на то, спасибо. Но так замудрено это все...

Можешь ещё покопать по ключевым словам «linux source (based OR policy) routing».

В линуксе это как-то сложно. В FreeBSD ipfw тоже реализуется одним правилом - fwd.

на самом деле - дело привычки. Мне вот под фряхой к примеру сложно блокировать трафик по сигнатурному анализу, а в iptables это делается непринужденно через string match

мухи отдельно, котлеты отдельно

>Надо сделать так, чтобы когда используешь VPN и коннектишься на $IP1 (там поднят веб-сайт), то соединение шло через GW1, а не через внутренний интерфейс.

Это для pf выглядит вот так: pass in on tun0 route-to (rl0 $GW1) from $VPNSUBNET to $IP1

что-то типа того

ip route add default via 1.1.1.1 dev tun0 table vpn
ip rule add from 2.2.2.2/24 to 3.3.3.3 lookup vpn