Вопрос про 2 гейта во фре, имеем:

FreeBSD 6.0 (ipfw, ipnat), squid, bind, postfix, vpn ...

rl0 - анлим траф, 128 К/бит - установлен как дефолтный гейт, на нем почтовик корп., нат для тех кому надо, ssh, короче всё.
rl1 - внутренняя сетка 192.168.1.0/24 (без наворотов - pop3, smtp,squid)
rl2 - трафик считают, но скорость к мегабиту...

Есть острая необходимость, что бы весь серфинг производился через rl2
через squid, а почта и все что есть так и продолжали ходить в инет по безлимитке rl0.
Прошу совета как мне настроить что бы squid бегал через rl2 и иметь возможность натить на rl2 по необходимости отдельные ip из локальной сетки (не natd!). Если можно, то подробней.

dmesg:
--------------------
IP Filter: v4.1.8 initialized.  Default = pass all, Logging = enabled
ipfw2 (+ipv6) initialized, divert loadable, rule-based forwarding enabled, default to accept, logging limited to 100 packets/entry by default
--------------------

Спасибо.

• Вопрос про 2 гейта в FreeBSD и Squid,MoHaX, 12:31 , 03-Мрт-06
  • Вопрос про 2 гейта в FreeBSD и Squid,Spider, 12:45 , 03-Мрт-06
    • Вопрос про 2 гейта в FreeBSD и Squid,A Clockwork Orange, 13:07 , 03-Мрт-06
      • Вопрос про 2 гейта в FreeBSD и Squid,Spider, 13:55 , 03-Мрт-06
        • Вопрос про 2 гейта в FreeBSD и Squid,Spider, 18:03 , 03-Мрт-06
    • Вопрос про 2 гейта в FreeBSD и Squid,Аноним, 07:03 , 04-Мрт-06
      • Вопрос про 2 гейта в FreeBSD и Squid,Spider, 10:50 , 07-Мрт-06

>Вопрос про 2 гейта во фре, имеем:
>
>FreeBSD 6.0 (ipfw, ipnat), squid, bind, postfix, vpn ...
>
>rl0 - анлим траф, 128 К/бит - установлен как дефолтный гейт, на
>нем почтовик корп., нат для тех кому надо, ssh, короче всё.
>
>rl1 - внутренняя сетка 192.168.1.0/24 (без наворотов - pop3, smtp,squid)
>rl2 - трафик считают, но скорость к мегабиту...
>
>Есть острая необходимость, что бы весь серфинг производился через rl2
>через squid, а почта и все что есть так и продолжали ходить
>в инет по безлимитке rl0.
>Прошу совета как мне настроить что бы squid бегал через rl2 и
>иметь возможность натить на rl2 по необходимости отдельные ip из локальной
>сетки (не natd!). Если можно, то подробней.
>
>dmesg:
>--------------------
>IP Filter: v4.1.8 initialized.  Default = pass all, Logging = enabled
>
>ipfw2 (+ipv6) initialized, divert loadable, rule-based forwarding enabled, default to accept, logging
>limited to 100 packets/entry by default
>--------------------
>
>Спасибо.

squid (tcp_outgoing_adress) и ipfw fwd

>>Вопрос про 2 гейта во фре, имеем:
>>
>>FreeBSD 6.0 (ipfw, ipnat), squid, bind, postfix, vpn ...
>>
>>rl0 - анлим траф, 128 К/бит - установлен как дефолтный гейт, на
>>нем почтовик корп., нат для тех кому надо, ssh, короче всё.
>>
>>rl1 - внутренняя сетка 192.168.1.0/24 (без наворотов - pop3, smtp,squid)
>>rl2 - трафик считают, но скорость к мегабиту...
>>
>>Есть острая необходимость, что бы весь серфинг производился через rl2
>>через squid, а почта и все что есть так и продолжали ходить
>>в инет по безлимитке rl0.
>>Прошу совета как мне настроить что бы squid бегал через rl2 и
>>иметь возможность натить на rl2 по необходимости отдельные ip из локальной
>>сетки (не natd!). Если можно, то подробней.
>>
>>dmesg:
>>--------------------
>>IP Filter: v4.1.8 initialized.  Default = pass all, Logging = enabled
>>
>>ipfw2 (+ipv6) initialized, divert loadable, rule-based forwarding enabled, default to accept, logging
>>limited to 100 packets/entry by default
>>--------------------
>>
>>Спасибо.
>
>squid (tcp_outgoing_adress) и ipfw fwd

интерфейс RL0 - айпи IP1, гейт GW1 - это первый гейт
интерфейс RL2 - айпи IP2, гейт GW2 - это первый гейт

map RL0 192.168.0.0/16 -> IP1 (по старой схеме типа)

в результате все по умолчанию ползут на первый интернет
дальше правила для какого-то айпишника

ipfw add fwd GW2 tcp from 192.168.1.222 to not 192.168.0.0/16

в результате весь трафик от компа 192.168.1.222 будет улетать на второй гейт

не забыть прописать правила NAT

map RL2 192.168.1.222/32 -> IP2

ipfw add fwd GW1 tcp from IP1 to not 192.168.1.0/16 out RL2
ipfw add fwd GW2 tcp from IP2 to not 192.168.1.0/16 out RL1

Я тут не понимаю, может кто обьяснить...?

ты за исходящий трафик платишь?

>ты за исходящий трафик платишь?

Нет

Прошу помочь в решении этого вопроса тех, кто в этом разбирается лучше меня, или обьяснить поточнее.

Спасибо.

>map RL2 192.168.1.222/32 -> IP2
>
>ipfw add fwd GW1 tcp from IP1 to not 192.168.1.0/16 out RL2
>
>ipfw add fwd GW2 tcp from IP2 to not 192.168.1.0/16 out RL1
>
>
>Я тут не понимаю, может кто обьяснить...?

Это для того, чтобы пакеты пришедшие на адрес интерфейса вернулись через него же. При этом учитывается, что пакеты на этот адрес должны были прийти снаружи через интерфейс адреса - это для того, чтобы если пакеты пришли из локалки не отправлять ответ на них провайдерам.

НО!

мне кажется что тут ошибка )

по моему должно быть без ограничения интерфейсов, типа:

ipfw add fwd GW1 tcp from IP1 to not 192.168.1.0/16
ipfw add fwd GW2 tcp from IP2 to not 192.168.1.0/16

проверить это можно попинговав сервер по двум адресам снаружи и посмотрев на результат.

>
>>map RL2 192.168.1.222/32 -> IP2
>>
>>ipfw add fwd GW1 tcp from IP1 to not 192.168.1.0/16 out RL2
>>
>>ipfw add fwd GW2 tcp from IP2 to not 192.168.1.0/16 out RL1
>>
>>
>>Я тут не понимаю, может кто обьяснить...?
>
>
>Это для того, чтобы пакеты пришедшие на адрес интерфейса вернулись через него
>же. При этом учитывается, что пакеты на этот адрес должны были
>прийти снаружи через интерфейс адреса - это для того, чтобы если
>пакеты пришли из локалки не отправлять ответ на них провайдерам.
>
>
>НО!
>
>мне кажется что тут ошибка )
>
>по моему должно быть без ограничения интерфейсов, типа:
>
>ipfw add fwd GW1 tcp from IP1 to not 192.168.1.0/16
>ipfw add fwd GW2 tcp from IP2 to not 192.168.1.0/16
>
>проверить это можно попинговав сервер по двум адресам снаружи и посмотрев на
>результат.

Спасибо, толково, в ближейшее время буду пробовать!
Доложу