URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 84336
[ Назад ]

Исходное сообщение
"FIREWALL"
Отправлено Yurchello , 03-Мрт-09 23:57

Опять нелепый вопрос от новичка....
Есть сервер FreeBSD 7.0 с обновлениями... имеется:
1. сетевая какрта ifconfig_rl0="DHCP" смотрит на провайдера
2. сетевая карта ifconfig_rl1="inet 192.168.0.101  netmask 255.255.255.0" смотрит в локальную сеть и раздает интернет
Установлен сквид...
/etc/rc.conf
squid_enable="YES"
firewall_enable="YES"
firewall_script="/etc/firewall.conf"
ifconfig_rl2="inet 217.146.246.21/30"
ifconfig_rl1="inet 192.168.0.101  netmask 255.255.255.0"
ifconfig_rl0="DHCP"
ppp_enable="YES"
ppp_mode="ddial"
ppp_nat="YES"
ppp_profile="vpn"
natd_enable="YES"
natd_interface="rl0"
natd_flags=""
linux_enable="YES"
trafd_enable="YES"
trafd_ifaces="rl0 rl1"
trafd_flags=""
trafd_log="/var/log/trafd.log"
/etc/frewall.conf
/sbin/ipfw -f flush
/sbin/ipfw add fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80 via rl1
/sbin/ipfw add divert natd all from 192.168.0.0/24 to any out via rl0
/sbin/ipfw add divert natd all from any to any in via rl0
/sbin/ipfw add allow ip from any to any
Теперь появилась новая задача.... установить 3-ю сетевую карту и подключить к ней IP-телефонию через модем cisco... Таким образом появляется третий интерфейс...
Теперь сам вопрос... как мне теперь роутить запросы с новой сетефой?
что прописать в моем frewall.conf ???

Содержание

FIREWALL,Yurchello, 00:00 , 04-Мрт-09
- FIREWALL,Ночной админ, 00:19 , 04-Мрт-09
  - FIREWALL,Yurchello, 00:21 , 04-Мрт-09
    - FIREWALL,Ночной админ, 00:55 , 04-Мрт-09
      - FIREWALL,Yurchello, 08:07 , 04-Мрт-09
        
        FIREWALL,Ночной админ, 09:46 , 04-Мрт-09
        
        FIREWALL,Yurchello, 16:08 , 04-Мрт-09
        
        FIREWALL,Yurchello, 20:12 , 06-Мрт-09
        
        FIREWALL,Yurchello, 10:01 , 08-Мрт-09
        
        FIREWALL,Yurchello, 21:12 , 13-Мрт-09
        
        FIREWALL,Ночной админ, 22:26 , 13-Мрт-09
        
        FIREWALL,Kos, 11:37 , 14-Мрт-09

Сообщения в этом обсуждении

"FIREWALL"
Отправлено Yurchello , 04-Мрт-09 00:00

Кстати, прокси (сквид) настроил прозрачно... по моему фаерволу - пакеті сразу заворачиваю на него...
модем CISCO ATA 186

"FIREWALL"
Отправлено Ночной админ , 04-Мрт-09 00:19

>Кстати, прокси (сквид) настроил прозрачно... по моему фаерволу - пакеті сразу заворачиваю
>на него...
>модем CISCO ATA 186
CISCO ATA 186 - это не модем кстати.

"FIREWALL"
Отправлено Yurchello , 04-Мрт-09 00:21

>>Кстати, прокси (сквид) настроил прозрачно... по моему фаерволу - пакеті сразу заворачиваю
>>на него...
>>модем CISCO ATA 186
>
>CISCO ATA 186 - это не модем кстати.
ну... как обозвать просто не знал... :) суть то - конвертирование сигнала....

"FIREWALL"
Отправлено Ночной админ , 04-Мрт-09 00:55

>>>Кстати, прокси (сквид) настроил прозрачно... по моему фаерволу - пакеті сразу заворачиваю
>>>на него...
>>>модем CISCO ATA 186
>>
>>CISCO ATA 186 - это не модем кстати.
>
>ну... как обозвать просто не знал... :) суть то - конвертирование сигнала....
>
В чем сложность подключения телефонии?

"FIREWALL"
Отправлено Yurchello , 04-Мрт-09 08:07

Чисто теоретически - все понятно и просто... но... так как я еще учусь... для меня єто дремучий лес...
на сколько я понимаю мне нужно в мой фаервол внести правило, которое будет роутить покеты и для третьей сетевой карты...
но как это сделать верно... ?

"FIREWALL"
Отправлено Ночной админ , 04-Мрт-09 09:46

>Чисто теоретически - все понятно и просто... но... так как я еще
>учусь... для меня єто дремучий лес...
>на сколько я понимаю мне нужно в мой фаервол внести правило, которое
>будет роутить покеты и для третьей сетевой карты...
>но как это сделать верно... ?
Фаервол пакеты фильтрует, а не маршрутизирует. Настройте на 3 интерфейсе подсеть по /30 для взаимодействия с
ATA, если ваш сервер является шлюзом добавьте на других маршрутизаторах маршруты, если шлюз единственный маршрутизатор по сути ничего добавлять не надо. Для начала в фаервол внесите разрешающие правила для Вашей VoIP сети /30 и занимайтесь настройкой телефонии, ну а как заработает то уже правила фильтрации можно прикрутить.

"FIREWALL"
Отправлено Yurchello , 04-Мрт-09 16:08

>[оверквотинг удален]
>>будет роутить покеты и для третьей сетевой карты...
>>но как это сделать верно... ?
>
> Фаервол пакеты фильтрует, а не маршрутизирует. Настройте на 3 интерфейсе подсеть
>по /30 для взаимодействия с
>ATA, если ваш сервер является шлюзом добавьте на других маршрутизаторах маршруты, если
>шлюз единственный маршрутизатор по сути ничего добавлять не надо. Для начала
>в фаервол внесите разрешающие правила для Вашей VoIP сети /30 и
>занимайтесь настройкой телефонии, ну а как заработает то уже правила фильтрации
>можно прикрутить.
а как это красиво прописать командой?

"FIREWALL"
Отправлено Yurchello , 06-Мрт-09 20:12

много вариантов попробовал... но что то так ни чего и не получается...
что то я ни как не могу все ж подружиться с разрешающими правилами фаервола...
может поможите, написав что мне не хватает командой?

"FIREWALL"
Отправлено Yurchello , 08-Мрт-09 10:01

Немного подумав и почитав... пришел к выводу, что в моем фаерволе присутствует лишняя строка... которая натит все пакеты... а в моем случае - натить пакеты на циско не нужно... а нужно просто роутить...
получается... если моф фаервол привести к такому виду
/sbin/ipfw -f flush
/sbin/ipfw add fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80 via rl1
/sbin/ipfw add divert natd all from 192.168.0.0/24 to any out via rl0
/sbin/ipfw add allow ip from any to any
то все должно работать....
НО!!! как не обидно - не работает!!!
как же мне оставить заворачивание пакетов для прозрачного проксирования и сделать роутинг для циски одновременно???
что ж я опять упустил то?

"FIREWALL"
Отправлено Yurchello , 13-Мрт-09 21:12

АУУУ.. люди!!! что ни кто нен сталкивался с таким чтоль???
помогите... инетрент-кафе стоит без сип-телефонии... обычные пользователи страдают... :(

"FIREWALL"
Отправлено Ночной админ , 13-Мрт-09 22:26

>АУУУ.. люди!!! что ни кто нен сталкивался с таким чтоль???
>помогите... инетрент-кафе стоит без сип-телефонии... обычные пользователи страдают... :(
Помагать чем?
В настройках фаервола помагает его документация и статей в сети масса.
Настройка маршрутизации это тоже в Вашем варианте простейшая задача решаемая чтением
мануалов.

"FIREWALL"
Отправлено Kos , 14-Мрт-09 11:37

>[оверквотинг удален]
>/sbin/ipfw add divert natd all from 192.168.0.0/24 to any out via rl0
>
>/sbin/ipfw add allow ip from any to any
>
>то все должно работать....
>
>НО!!! как не обидно - не работает!!!
>как же мне оставить заворачивание пакетов для прозрачного проксирования и сделать роутинг
>для циски одновременно???
>что ж я опять упустил то?
нужно сделать типа такого:
http://www.opennet.me/base/net/bsd_pbr_route.txt.html
только условия форвардинга пакетов продумать.
А заодно узнать наконец когда можно использовать маршрутизацию, а когда - НАТ.