Имеется 2 интерфейса со статическими ipng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1492
inet 82.207.x.x --> 195.5.x.x netmask 0xffffffff
ng1: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1492
inet 193.110.x.x --> 89.19.x.x netmask 0xffffffffШлюз по умолчанию на ng0, второй канал с более низкой скоростью, как резервный, не используется. Снаружи доступ только на 1 интерфейс, 2 интерфейс не пингуется. Если меняю шлюз по умолчанию на второй интерфейс, тогда ng0 не пингуется снаружи. Как сделать средствами ipfw, чтобы доступ к серверу был снаружи через оба интерфейса?
>[оверквотинг удален]
>ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1492
> inet 82.207.x.x --> 195.5.x.x netmask 0xffffffff
>ng1: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1492
> inet 193.110.x.x --> 89.19.x.x netmask 0xffffffff
>
>Шлюз по умолчанию на ng0, второй канал с более низкой скоростью, как
>резервный, не используется. Снаружи доступ только на 1 интерфейс, 2 интерфейс
>не пингуется. Если меняю шлюз по умолчанию на второй интерфейс, тогда
>ng0 не пингуется снаружи. Как сделать средствами ipfw, чтобы доступ к
>серверу был снаружи через оба интерфейса?100 раз обсуждалось - юзаем поиск
(форвардинг на конкретный шлюз по srp_ip)
>[оверквотинг удален]
>> inet 193.110.x.x --> 89.19.x.x netmask 0xffffffff
>>
>>Шлюз по умолчанию на ng0, второй канал с более низкой скоростью, как
>>резервный, не используется. Снаружи доступ только на 1 интерфейс, 2 интерфейс
>>не пингуется. Если меняю шлюз по умолчанию на второй интерфейс, тогда
>>ng0 не пингуется снаружи. Как сделать средствами ipfw, чтобы доступ к
>>серверу был снаружи через оба интерфейса?
>
>100 раз обсуждалось - юзаем поиск
>(форвардинг на конкретный шлюз по srp_ip)Можно хотя бы ссылочку?
лови
http://www.opennet.me/openforum/vsluhforumID1/86302.html
>лови
>http://www.opennet.me/openforum/vsluhforumID1/86302.htmlНе помогло по той статье
${fwcmd} add 615 fwd 195.5.x.x log all from 82.207.x.x to any out via ng0
${fwcmd} add 620 fwd 89.19.x.x log all from 193.110.x.x to any out via ng1Jul 1 17:10:01 lilu kernel: ipfw: 620 Forward to 89.19.x.x TCP 193.110.x.x:55405 204.16.170.40:80 out via ng1
>[оверквотинг удален]
>
>Не помогло по той статье
>
>${fwcmd} add 615 fwd 195.5.x.x log all from 82.207.x.x to any out
>via ng0
>${fwcmd} add 620 fwd 89.19.x.x log all from 193.110.x.x to any out
>via ng1
>
>Jul 1 17:10:01 lilu kernel: ipfw: 620 Forward to 89.19.x.x TCP
>193.110.x.x:55405 204.16.170.40:80 out via ng1почему не помогло? правило то сработало
>[оверквотинг удален]
>>
>>${fwcmd} add 615 fwd 195.5.x.x log all from 82.207.x.x to any out
>>via ng0
>>${fwcmd} add 620 fwd 89.19.x.x log all from 193.110.x.x to any out
>>via ng1
>>
>>Jul 1 17:10:01 lilu kernel: ipfw: 620 Forward to 89.19.x.x TCP
>>193.110.x.x:55405 204.16.170.40:80 out via ng1
>
>почему не помогло? правило то сработалоПингую снаружи:
listening on ng1, link-type NULL (BSD loopback), capture size 96 bytes
18:30:21.169458 IP 200-87-112-92.pool.ukrtel.net > мой_сервер.net: ICMP echo request, id 512, seq 8960, length 40
18:30:26.448423 IP 200-87-112-92.pool.ukrtel.net > мой_сервер.net: ICMP echo request, id 512, seq 9216, length 40
без ответа
>[оверквотинг удален]
>>>Jul 1 17:10:01 lilu kernel: ipfw: 620 Forward to 89.19.x.x TCP
>>>193.110.x.x:55405 204.16.170.40:80 out via ng1
>>
>>почему не помогло? правило то сработало
>
>Пингую снаружи:
>listening on ng1, link-type NULL (BSD loopback), capture size 96 bytes
>18:30:21.169458 IP 200-87-112-92.pool.ukrtel.net > мой_сервер.net: ICMP echo request, id 512, seq 8960, length 40
>18:30:26.448423 IP 200-87-112-92.pool.ukrtel.net > мой_сервер.net: ICMP echo request, id 512, seq 9216, length 40
>без ответатоварисчь давай уже в нормальном виде адреса выкладывай - это читать невозможно
tcpdump -n, с обоих интерфейсов в момент пинга
ipfw -a list тоже покажи
>товарисчь давай уже в нормальном виде адреса выкладывай - это читать невозможноТы што!!!! Хакнут ведь незамедлительно!!!1
>>товарисчь давай уже в нормальном виде адреса выкладывай - это читать невозможно
>
>Ты што!!!! Хакнут ведь незамедлительно!!!1параноя здравому смыслу не товарисчь )))
>>>товарисчь давай уже в нормальном виде адреса выкладывай - это читать невозможно
>>
>>Ты што!!!! Хакнут ведь незамедлительно!!!1
>
>параноя здравому смыслу не товарисчь )))Пока не могу придумать как временно убрать лишний трафик, который идет с локалки, чтобы тспдамп на все запустить, просто выключить на пару минут локалку нельзя, несколько вланов висит
>[оверквотинг удален]
>
>Не помогло по той статье
>
>${fwcmd} add 615 fwd 195.5.x.x log all from 82.207.x.x to any out
>via ng0
>${fwcmd} add 620 fwd 89.19.x.x log all from 193.110.x.x to any out
>via ng1
>
>Jul 1 17:10:01 lilu kernel: ipfw: 620 Forward to 89.19.x.x TCP
>193.110.x.x:55405 204.16.170.40:80 out via ng1ты что-то напутал - должно быть что-то вроде
${fwcmd} add 615 fwd <gate1> log all from <net1> to any out via <iface2>
${fwcmd} add 620 fwd <gate2> log all from <net2> to any out via <iface1>
>[оверквотинг удален]
>>via ng0
>>${fwcmd} add 620 fwd 89.19.x.x log all from 193.110.x.x to any out
>>via ng1
>>
>>Jul 1 17:10:01 lilu kernel: ipfw: 620 Forward to 89.19.x.x TCP
>>193.110.x.x:55405 204.16.170.40:80 out via ng1
>
>ты что-то напутал - должно быть что-то вроде
>${fwcmd} add 615 fwd <gate1> log all from <net1> to any out via <iface2>
>${fwcmd} add 620 fwd <gate2> log all from <net2> to any out via <iface1>что подразумевается под сетями net1 и net2? NAT с обеих интерфейсов средствами mpd транслирует адреса в 10.0.0.0
>>ng0 не пингуется снаружи. Как сделать средствами ipfw, чтобы доступ к
>>серверу был снаружи через оба интерфейса?
>
>100 раз обсуждалось - юзаем поиск
>(форвардинг на конкретный шлюз по srp_ip)Не нужно слушать этого человека. Он просто не понимает о чем речь и регулярно садится в лужу. http://www.opennet.me/openforum/vsluhforumID1/88672.html#18 срались уже, бестолку. Опять он по src ip фильтрует, который заведомо одинаков.
Нет решения. Разве что регистрировать AS и поднимать BGP.
>>>ng0 не пингуется снаружи. Как сделать средствами ipfw, чтобы доступ к
>>>серверу был снаружи через оба интерфейса?
>>
>>100 раз обсуждалось - юзаем поиск
>>(форвардинг на конкретный шлюз по srp_ip)
>
>Не нужно слушать этого человека. Он просто не понимает о чем речь
>и регулярно садится в лужу. http://www.opennet.me/openforum/vsluhforumID1/88672.html#18 срались уже, бестолку. Опять он
>по src ip фильтрует, который заведомо одинаков.
>Нет решения. Разве что регистрировать AS и поднимать BGP.А может тебя слушать не надо ?
>Имеется 2 интерфейса со статическими ip
>
>ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1492
> inet 82.207.x.x --> 195.5.x.x netmask 0xffffffff
>ng1: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1492
> inet 193.110.x.x --> 89.19.x.x netmask 0xffffffffПоздравляю, ты показал все свои лучшие качества, отличное понимание предмета, и т д.
Где тут src ip _одинаков_ ?
Далее, читаем тему по ссылке - и что мы там видим ? Полный бред, никак не связанный с данной темой, ну по крайней мере не дающий никакого ответа. Так кого слушать не надо ?
>
>Где тут src ip _одинаков_ ?Ах да, вы же не понимаете что такое src_ip исходящего с машины пакета...
>>
>>Где тут src ip _одинаков_ ?
>
>Ах да, вы же не понимаете что такое src_ip исходящего с машины
>пакета...странно, меня даже тролем не обозвали ))
>Не нужно слушать этого человека. Он просто не понимает о чем речь
>и регулярно садится в лужу. http://www.opennet.me/openforum/vsluhforumID1/88672.html#18 срались уже, бестолку. Опять он
>по src ip фильтрует, который заведомо одинаков.странна, почему у меня работает? что я не так делаю?
>Нет решения. Разве что регистрировать AS и поднимать BGP.зачет.
на опеннет - как на башорг
>Имеется 2 интерфейса со статическими ip
>Как сделать средствами ipfw, чтобы доступ к
>серверу был снаружи через оба интерфейса?в pf это просто:
prov1_if="vlan0"
prov1_gw="10.10.10.1"prov2_if="vlan1"
prov2_gw="20.20.20.1"mail_srv="192.168.0.100"
#
## Почта внутрь с обоих интерфейсов
rdr on { $prov1_if, $prov2_if } proto { tcp } from any to { $prov1_if, $prov2_if } port { 25, 110, 143 } -> $mail_srv
pass in on $prov1_if reply-to ( $prov1_if $prov1_gw ) inet proto tcp from any to $mail_srv port { 25, 110, 143 } flags S/SA keep state
pass in on $prov2_if reply-to ( $prov2_if $prov2_gw ) inet proto tcp from any to $mail_srv port { 25, 110, 143 } flags S/SA keep state## Пинги на оба интерфейса
pass in on $prov2_if reply-to ($prov2_if $prov2_gw) inet proto icmp to ($prov2_if) tag EXT_IF_A icmp-type echoreq code 0
pass in on $prov2_if inet proto icmp from ($prov2_if:network) to ($prov2_if) icmp-type echoreq code 0pass in on $prov1_if reply-to ($prov1_if $prov1_gw) inet proto icmp to ($prov1_if) tag EXT_IF_B icmp-type echoreq code 0
pass in on $prov1_if inet proto icmp from ($prov1_if:network) to ($prov1_if) icmp-type echoreq code 0
легкочитаемо и понимаемо.
юзайте правильные файрволы :)