В локальной сети два шлюза на FreeBSD. A и B
На обоих шлюзах настроен редирект не сервер (WIndows 2003 SErver) во внутренней сети на порт 3389.
Шлюз А средствами pf
Шлюз B средствами ipfw
Если выставить на внутреннем сервере шлюз по умолчанию А, и коннектится снаружи на A:3389 соединение с внутренним сервером устанавливается, если коннектится на B:3389 соединение не устанавливается.
Если выставить на внутреннем сервере шлюз по умолчанию B, и коннектится снАружи на B:3389 соединение с внутренним сервером устанавливаются, если коннектится на A:3389 соединение не устанавливается.
С чем это может быть связано?
>В локальной сети два шлюза на FreeBSD. A и B
>На обоих шлюзах настроен редирект не сервер (WIndows 2003 SErver) во внутренней
>сети на порт 3389.
>Шлюз А средствами pf
>Шлюз B средствами ipfw
>Если выставить на внутреннем сервере шлюз по умолчанию А, и коннектится снаружи
>на A:3389 соединение с внутренним сервером устанавливается, если коннектится на B:3389
>соединение не устанавливается.
>Если выставить на внутреннем сервере шлюз по умолчанию B, и коннектится снАружи
>на B:3389 соединение с внутренним сервером устанавливаются, если коннектится на A:3389
>соединение не устанавливается.
>С чем это может быть связано?Смежный вопрос...
Каким образом в ipfw грамотно организовать перенаправление соединения на порт другой машины, как это сделано и тебя на шлюзе "В"?
Т.е. я соединяюсь снаружи на В:3389 (в твоем случае) и работаю с внутренним сервером...
Спасибо.
ну это логично
вся маршрутизация идет через шлюз по умолчанию
чей шлюз там и связь
можно долго биться с двумя шлюзами НО ИМХО правильнее поставить маршрутизаторы под А и В на разные машины и на каждой свой шлюз
тогда по обоим пойдет трафик а уж потом рулить его куда кайф
и надежно и удобно.
я так и сделал, бился несколько дней, но потом все таки последовал логике...
MARK
дело не в логике, дело в теории, почему не работате.
должно работать, трафик уходит по одному каналу через один шлюз, приходит через другой канал другой шлюз999
boa# cat /etc/rc.conf | grep natd
natd_enable="YES"
natd_interface="xl0"
natd_flags="-m -s -u -punch_fw 10000:50 -redirect_port 192.168.21.7:3389 3389"
boa#
>boa# cat /etc/rc.conf | grep natd
>natd_enable="YES"
>natd_interface="xl0"
>natd_flags="-m -s -u -punch_fw 10000:50 -redirect_port 192.168.21.7:3389 3389"а как это скажеться на нате вцелом?
можно ли подобную конструкцию организовать средствами правил ipfw?
999
вопрос не понял
>999
>вопрос не понял
Сорри.
Ты предлагаешь задать несколько параметров NAT_у...
natd_flags="-m -s -u -punch_fw 10000:50 -redirect_port 192.168.21.7:3389 3389"
Вопрос состоит в том, не ограничит ли это его (Nat) работоспособность..?
И второй вопрос. Возможно ли организовать перенаправление портов средствами правил ipfw? Т.е. соединяюсь я со шлюзом а он мена перекидывает на другую машину.
ничего не ограничит.
перенаправление делается средсвами нат (ну или сторонней программы) а не ipfw
предлагаю на "внутреннем" и "внешнем" серверах завести адреса алиасы.
Например, имеем:
- роутер с двумя каналами 192.168.1.1/24
- внутр. сервер 192.168.1.2/24заводим алиасы:
- роутер с двумя каналами 192.168.1.1/24, 192.168.11.1/24, 192.168.12.1/24
- внутр. сервер 192.168.1.2/24, 192.168.11.2/24, 192.168.12.2/24Далее, при написании правил для ipfw и конфигов для двух natd
предполагать, что сеть 192.168.11.0 "ходит" по "линку" №1, а сеть
192.168.12.0 по №2о том как "выпускать" одну сеть через одного, а другую - через другого
провайдеров здесь рассказано более чем достаточно
Знал что в BCC ёбнутые работают, но настолько...
>Знал что в BCC ёбнутые работают, но настолько...BCC -- WTF?!
>... ёбнутые работают..."болеете?"...(с)
:-))
есть один очень интерестный вариант
если у тебя стоит 5.4 - поднимаем carp на внутренних интерфейсах шлюзов
IP - который будет у них общий - делаем defult router для Win2003
правила pf - пишем при помощи synproxy state + тут можно поиграться с тэгированием пакетов ( tag tagged ) - может все получиться очень красиво.
А так что-то вариантов я больше не вижу
или можно вообще не париться и поднять на внешних интерфейсах VPN
и получишь ты свой rdp на сервак
:)
вы вопроса не поняли?
трафик туда и обратно через один шлюз работает для обеих шлюзов
мне интересно почему не работает когда трафик для внутреннего сервера в разных направлениях проходит через разные шлюзы
>вы вопроса не поняли?в ответ вчитайся
>трафик туда и обратно через один шлюз работает для обеих шлюзов
ну и как тебя понять? %)
>мне интересно почему не работает когда трафик для внутреннего сервера в >разных направлениях проходит через разные шлюзы
"твой внутренний сервер" шлет пакеты во внешний мир на тот шлюз что у него
прописан. для того чтобы сделать как ты хочешь (работу с двумя шлюзами)
заведи алиасы или поднимай VPN.
>[оверквотинг удален]
>
>ну и как тебя понять? %)
>
>>мне интересно почему не работает когда трафик для внутреннего сервера в >разных направлениях проходит через разные шлюзы
>
>"твой внутренний сервер" шлет пакеты во внешний мир на тот шлюз что
>у него
>прописан. для того чтобы сделать как ты хочешь (работу с двумя шлюзами)
>
> заведи алиасы или поднимай VPN.а можно еще проще... поставь на свой внутренний сервак вторую сетевуху и настрой на первой сетевухе одну подсеть с шлюзом, на второй сетевухе - вторую подсеть с ее шлюзом... и будет тебе счастье )