Вот опять я со своим велосипедом, чтони у кого нету подобных нужд?
Ситуация (постановка задачи):
Есть провайдер 1 - очень дешевый тариф, но нет возможности взять реальный айпи
Есть провайдер 2 - тариф так-себе, но от него зареган домен (реально смотрим в мир), плюс ресурсы сети.
Есть локалка 192.168.0.0/24
Есть роутер на фре (6.1) в нем три сеиевухи
Постановка задачи, необходимо чтоб локалка лезла в сеть (за исключением подсети провайдера 2) - через провайдера 1, И чтоб машина біла видна с "наружи" - тобиш чтоб запросы приходящие через интерфейс провайдера 2 - через него и уходили.Вот настроил на 50% рабочую систему (на 50 потому-что машину с наружи не видно тобиш у меня не щитая сети провайдера 2 все что приходит на его интерфейс отдается через провайдера 1)
Что и где поправить чтоб работало все ??Вот мои конфиги:
rc.conf
defaultrouter="10.56.0.1" #роутер провайдера 1 - серый айпи, дешеый траффик
#defaultrouter="193.238.0.1" #роутер провайдера 2 (так если понадобится)
gateway_enable="YES"
hostname="xxxxx.lutsk.ua"
ifconfig_fxp0="inet 193.238.0.2 netmask 255.255.255.240" #IP интерфейса смотрящего на провайдера 2 (реальный айпи)
ifconfig_fxp1="inet 10.56.0.4 netmask 255.255.255.0" #IP интерфейса смотрящего на провайдера 1
ifconfig_fxp2="inet 192.168.0.250 netmask 255.255.255.0" # IP интерфейса смотрящего в Lanrouter="/sbin/routed"
router_enable="YES"
router_flags="-q"
firewall_enable="YES"
firewall_quiet="YES"
firewall_script="/etc/rc.firewall"
Конфиг фаервола (rc.firewall):ipfw='/sbin/ipfw'
ournet='192.168.0.0/16' # Local lan
ifout='fxp0' # Network adapter linked to isp2
ifout2='fxp1' # Network adapter linked to isp1
ifuser='fxp2' # Network adapter linked to local lan${ipfw} -f flush
${ipfw} add 100 check-state
${ipfw} add 150 allow ip from any to any via lo
${ipfw} add 200 allow ip from me to any keep-state# NAT to ISP1
${ipfw} add 250 divert 8668 ip from 192.168.0.0/24 to not 193.109.80.0/24 out via ${ifout2} #193.109.80.0/24 - ресурс сети провайдера 2 к которим надо получить доступ${ipfw} add 251 divert 8668 ip from not 193.109.80.0/24 to any in via ${ifout2}
# NAt to ISP2
${ipfw} add 252 divert 8669 ip from 192.168.0.0/24 to 193.109.80.0/24 out via ${ifout}
${ipfw} add 253 divert 8669 ip from 193.109.80.0/24 to any in via ${ifout}
..............................
..............................
Поднимаем нат, нат2, и добавляем маршрутизацию на провайдера 2:
rc.local
natd -p 8668 -m -u -n fxp1
natd -p 8669 -m -u -n fxp0
route add 193.109.80.0/24 193.238.0.1
Что надо поправить ???? Как сделать ??? Не оставте без внимания Плиз
>Постановка задачи, необходимо чтоб локалка лезла в сеть (за исключением подсети провайдера
>2) - через провайдера 1, И чтоб машина біла видна с
>"наружи" - тобиш чтоб запросы приходящие через интерфейс провайдера 2 -
>через него и уходили.
>
>Вот настроил на 50% рабочую систему (на 50 потому-что машину с наружи
>не видно тобиш у меня не щитая сети провайдера 2 все
>что приходит на его интерфейс отдается через провайдера 1)
>Что и где поправить чтоб работало все ??Аналогичная проблема.
Думаю поставить что-то квагги...
Прочитайте моё сообщение в теме:http://www.opennet.me/openforum/vsluhforumID1/71630.html
Возникнут вопросы - пишите.
ЗЫЖ Вроде вчера отправлял такое же сообщение, потерялось кудато....
>Прочитайте моё сообщение в теме:
>
>http://www.opennet.me/openforum/vsluhforumID1/71630.html
>
>Возникнут вопросы - пишите.У меня другая ситуация.
Есть два внешних интерфейса, на них висят куча сервисов.
Мне надо, чтобы ответы на запросы уходили с того же интерфейса (IP), а не с дефолтного шлюза...
>>Прочитайте моё сообщение в теме:
>>
>>http://www.opennet.me/openforum/vsluhforumID1/71630.html
>>
>>Возникнут вопросы - пишите.
>
>У меня другая ситуация.
>
>Есть два внешних интерфейса, на них висят куча сервисов.
>Мне надо, чтобы ответы на запросы уходили с того же интерфейса (IP),
>а не с дефолтного шлюза...
Ну извинте, если Вас обламывает посмотреть на _совет_, в котором все основные правила _прокомментированы_, разжеваны по-русски, то Вам, уважаемый, помочь можно только _сделав всё за Вас_.Или там " сильно много буков " ?
>Ну извинте, если Вас обламывает посмотреть на _совет_, в котором все основные
>правила _прокомментированы_, разжеваны по-русски, то Вам, уважаемый, помочь можно только _сделав
>всё за Вас_.Читаем постановку задачи с Вашего топика: "Требуется пустить весь исходящий в инет трафик по каналу ste3 а весь входящий (за некоторыми исключениями) по интерфейсу ste0."
Читаем постановку моей проблемы: "Мне надо, чтобы ответы на запросы уходили с того же интерфейса (IP), а не с дефолтного шлюза..."Где Вы увидели совпадение задач?
>>Ну извинте, если Вас обламывает посмотреть на _совет_, в котором все основные
>>правила _прокомментированы_, разжеваны по-русски, то Вам, уважаемый, помочь можно только _сделав
>>всё за Вас_.
>
>Читаем постановку задачи с Вашего топика: "Требуется пустить весь исходящий в
>инет трафик по каналу ste3 а весь входящий (за некоторыми исключениями)
>по интерфейсу ste0."
>Читаем постановку моей проблемы: "Мне надо, чтобы ответы на запросы уходили с
>того же интерфейса (IP), а не с дефолтного шлюза..."
>
>Где Вы увидели совпадение задач?Во-первых - топик не мой.
Во вторых - я просил посмотреть не всю _тему_, а только моё _сообщение_, в котором в правилах файрволла все расписано _подробно_ и вполне применимо к вашему случаю.
И там и там - два провайдера. В любом случае _корректная_ работа с двумя провайдерами средствами ipfw будет реализовываться по сходным схемам...
Обламывает посмотреть то что советуют - исключительно Ваши проблемы.
Успехов в работе.
>Во-первых - топик не мой.
>Во вторых - я просил посмотреть не всю _тему_, а только моё
>_сообщение_, в котором в правилах файрволла все расписано _подробно_ и вполне
>применимо к вашему случаю.
>
>
>И там и там - два провайдера. В любом случае _корректная_ работа
>с двумя провайдерами средствами ipfw будет реализовываться по сходным схемам...
>
>
>Обламывает посмотреть то что советуют - исключительно Ваши проблемы.
>Успехов в работе.Мда-с.
Это клинический случай.
У меня локалка НОРМАЛЬНО работает с двумя провами.
Мне надо настроить работу ВНЕШНИХ интерфейсов! только внешних интерфейсов!
Чтоб на запросы извне на конкретный внешний интерфейс уходили ответы на тот же интерфейс, а не по-дефолтовому маршруту через другой интерфейс!
>>Ну извинте, если Вас обламывает посмотреть на _совет_, в котором все основные
>>правила _прокомментированы_, разжеваны по-русски, то Вам, уважаемый, помочь можно только _сделав
>>всё за Вас_.
>
>Читаем постановку задачи с Вашего топика: "Требуется пустить весь исходящий в
>инет трафик по каналу ste3 а весь входящий (за некоторыми исключениями)
>по интерфейсу ste0."
>Читаем постановку моей проблемы: "Мне надо, чтобы ответы на запросы уходили с
>того же интерфейса (IP), а не с дефолтного шлюза..."
>
>Где Вы увидели совпадение задач?И ещё. Знание принципов освобождает от знания фактов. // по крайней мере иногда точно.
http://balance.sourceforge.net
>http://balance.sourceforge.netИзвините, мне надо не балансировка.
Она у меня в более-менее степени есть.
Мне надо корректные ответы сервисов на реальных айпи через правильный линк.
>>http://balance.sourceforge.net
>
>Извините, мне надо не балансировка.
>Она у меня в более-менее степени есть.
>Мне надо корректные ответы сервисов на реальных айпи через правильный линк.
не буду характеризовать твои личностные качества, но ты посмотришь, наконец, на то, что я тебе написал ???ТАМ ПО РУССКИ В КОММЕНТАРИЯХ ВСЁ НАПИСАНО
hint для особо одаренных: в предлагаемых мной правилах надо смотреть "раздел" внешние интерфейсы, исходящий траффик.
>>http://balance.sourceforge.net
>
>Извините, мне надо не балансировка.
>Она у меня в более-менее степени есть.
>Мне надо корректные ответы сервисов на реальных айпи через правильный линк.
не, я конечно могу скопипастить оттуда кусок правил... но если тебя ломает посмотреть, то меня обломает скопировать это сюда.
>не, я конечно могу скопипастить оттуда кусок правил... но если тебя ломает
>посмотреть, то меня обломает скопировать это сюда.Учите матчасть.
Нам не надо балансировка.
>
>>не, я конечно могу скопипастить оттуда кусок правил... но если тебя ломает
>>посмотреть, то меня обломает скопировать это сюда.
>
>Учите матчасть.
>Нам не надо балансировка.
ЫЫЫЫПрекратишь тупить или нет ???
В СООБЩЕНИИ, КОТОРОЕ Я ТЕБЯ КОТОРЫЙ РАЗ ПРОШУ ПРОЧИТАТЬ, КАК РАЗ НАПИСАНО, КАК СДЕЛАТЬ ФОРВАРД ПАКЕТОВ В НУЖНОМ НАПРАВЛЕНИИ, В ЗАВИСИМОСТИ ОТ ИСХОДЯЩЕГО АДРЕСА.
Пришли за советами - пользуйтесь ими.Также рекомендую Вам ознакомиться с man ipfw.
>>
>>>не, я конечно могу скопипастить оттуда кусок правил... но если тебя ломает
>>>посмотреть, то меня обломает скопировать это сюда.
>>
>>Учите матчасть.
>>Нам не надо балансировка.
>
>
>ЫЫЫЫ
>
>Прекратишь тупить или нет ???
>Игнорирую сообщения от пользователя PavelR.
>>>
>>>>не, я конечно могу скопипастить оттуда кусок правил... но если тебя ломает
>>>>посмотреть, то меня обломает скопировать это сюда.
>>>
>>>Учите матчасть.
>>>Нам не надо балансировка.
>>
>>
>>ЫЫЫЫ
>>
>>Прекратишь тупить или нет ???
>>
>
>Игнорирую сообщения от пользователя PavelR.
Иди документацию читай :):)))
>Вот опять я со своим велосипедом, чтони у кого нету подобных нужд?
>
>Ситуация (постановка задачи):
>Есть провайдер 1 - очень дешевый тариф, но нет возможности взять реальный
>айпи
>Есть провайдер 2 - тариф так-себе, но от него зареган домен (реально
>смотрим в мир), плюс ресурсы сети.
>Есть локалка 192.168.0.0/24
>Есть роутер на фре (6.1) в нем три сеиевухи
>Постановка задачи, необходимо чтоб локалка лезла в сеть (за исключением подсети провайдера
>2) - через провайдера 1, И чтоб машина біла видна с
>"наружи" - тобиш чтоб запросы приходящие через интерфейс провайдера 2 -
>через него и уходили.
>
>Вот настроил на 50% рабочую систему (на 50 потому-что машину с наружи
>не видно тобиш у меня не щитая сети провайдера 2 все
>что приходит на его интерфейс отдается через провайдера 1)
>Что и где поправить чтоб работало все ??
>
>Вот мои конфиги:
>
>rc.conf
>
>defaultrouter="10.56.0.1" #роутер провайдера 1 - серый айпи, дешеый траффик
>#defaultrouter="193.238.0.1" #роутер провайдера 2 (так если понадобится)
>gateway_enable="YES"
>hostname="xxxxx.lutsk.ua"
>ifconfig_fxp0="inet 193.238.0.2 netmask 255.255.255.240" #IP интерфейса смотрящего на провайдера 2 (реальный
>айпи)
>ifconfig_fxp1="inet 10.56.0.4 netmask 255.255.255.0" #IP интерфейса смотрящего на провайдера 1
>ifconfig_fxp2="inet 192.168.0.250 netmask 255.255.255.0" # IP интерфейса смотрящего в Lan
>
>Поднимаем нат, нат2, и добавляем маршрутизацию на провайдера 2:
>rc.local
>natd -p 8668 -m -u -n fxp1
>natd -p 8669 -m -u -n fxp0
>route add 193.109.80.0/24 193.238.0.1
>
>
>Что надо поправить ???? Как сделать ??? Не оставте без внимания Плиз
>Устроили перебранку кто, что читает/не читает =))))))
теперь по делу, как я понял на провайдера 2
смотрит fxp0 ИП 193.238.0.2 за ним есть ресурсы
нужные тебе по адресам 193.109.80.0/24
на которые ты не можешь попасть и если с них
приходит запрос, ответ уходит на другой интерфес.Т.е. твоя машина незнает, что 193.109.80.0/24 находится за 193.238.0.2
и отправляет все запросы/ответы на дефолтный шлюз.
есть два варианта решения:
1 - взять у прова 2 ИП из адресного пространства 193.109.80.0/24
и повесить на fxp0 второй ИП, тогда автоматом всё станет на свои места.2 - в таблице route рассказать что адресное пространство 193.109.80.0/24
находится за интерфейсом fxp0 имеющем адрес 193.238.0.2
как правильно это написать в FreeBSD я не подскажу =(.
>Устроили перебранку кто, что читает/не читает =))))))
>
>теперь по делу, как я понял на провайдера 2
>смотрит fxp0 ИП 193.238.0.2 за ним есть ресурсы
>нужные тебе по адресам 193.109.80.0/24
>на которые ты не можешь попасть и если с них
>приходит запрос, ответ уходит на другой интерфес.
>
>Т.е. твоя машина незнает, что 193.109.80.0/24 находится за 193.238.0.2
>и отправляет все запросы/ответы на дефолтный шлюз.
>есть два варианта решения:
>1 - взять у прова 2 ИП из адресного пространства 193.109.80.0/24
>и повесить на fxp0 второй ИП, тогда автоматом всё станет на свои
>места.
Не станет. У меня два реальника и таже проблема.
Проблема в том, что если ресурс (например) 148.53.46.78 обратится к адресу 193.238.0.2 (интерфейс от второго дорогого провайдера), то ответ будет отослан через первого провайдера, на которого стоит дефолтный роут!
>2 - в таблице route рассказать что адресное пространство 193.109.80.0/24
>находится за интерфейсом fxp0 имеющем адрес 193.238.0.2
>как правильно это написать в FreeBSD я не подскажу =(.Он уже сделал:
route add -net 193.109.80.0/24 193.238.0.1
Именно на 193.238.0.1, а не на 193.238.0.2, как вы советуете.
>>Устроили перебранку кто, что читает/не читает =))))))
>>
>>теперь по делу, как я понял на провайдера 2
>>смотрит fxp0 ИП 193.238.0.2 за ним есть ресурсы
>>нужные тебе по адресам 193.109.80.0/24
>>на которые ты не можешь попасть и если с них
>>приходит запрос, ответ уходит на другой интерфес.
>>
>>Т.е. твоя машина незнает, что 193.109.80.0/24 находится за 193.238.0.2
>>и отправляет все запросы/ответы на дефолтный шлюз.
>>есть два варианта решения:
>>1 - взять у прова 2 ИП из адресного пространства 193.109.80.0/24
>>и повесить на fxp0 второй ИП, тогда автоматом всё станет на свои
>>места.
>Не станет. У меня два реальника и таже проблема.
>Проблема в том, что если ресурс (например) 148.53.46.78 обратится к адресу 193.238.0.2
>(интерфейс от второго дорогого провайдера), то ответ будет отослан через первого
>провайдера, на которого стоит дефолтный роут!
ВОТ ТОЧНО ТО ЧТО Я ХОТЕЛ СКАЗАТЬ>
>
>>2 - в таблице route рассказать что адресное пространство 193.109.80.0/24
>>находится за интерфейсом fxp0 имеющем адрес 193.238.0.2
>>как правильно это написать в FreeBSD я не подскажу =(.
>
>Он уже сделал:
>route add -net 193.109.80.0/24 193.238.0.1
>Именно на 193.238.0.1, а не на 193.238.0.2, как вы советуете.
Да к PavelR - щас изучаю твой rc.firewall - вечером отпишу
>>>2 - в таблице route рассказать что адресное пространство 193.109.80.0/24
>>>находится за интерфейсом fxp0 имеющем адрес 193.238.0.2
>>>как правильно это написать в FreeBSD я не подскажу =(.
>>
>>Он уже сделал:
>>route add -net 193.109.80.0/24 193.238.0.1
>>Именно на 193.238.0.1, а не на 193.238.0.2, как вы советуете.
>
>
>Да к PavelR - щас изучаю твой rc.firewall - вечером отпишу
Соединения, инициирующиеся хостом или сетью, которая будет NATиться, пойдут по правилам route.Пакеты соединений, которые придут извне, уйдут по соответствующему каналу.