URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4441
[ Назад ]

Исходное сообщение
"pf 2 канала"
Отправлено cemen13 , 03-Дек-09 12:36

Всем привет облазил кучу форумов много про это пишут но у меня не работают 2 канала из интернет.
Есть некоторое количество сервисов в локалке с серыми айпишниками, на которые необходимо редиректить соединения из вне... к примеру: 3389 и 4899. Необходимо, чтобы эти сервисы БЫЛИ ДОСТУПНЫ С ОБОИХ ВНЕШНИХ IP. Баллансировка пока не нужна.
Есть гейт под управлением FreeBSD 6.3. C 3мя интерфейсами: firewall pf
rl0 # локалка
rl1 # лимитка это default
ext_if
rl2 # безлимитка
ext_if2
в првилах pf.conf так
на default тут работает
rdr pass on $ext_if inet proto tcp from any to any port 3333 -> 10.0.0.104 port 3389
а на втором нет
rdr pass on $ext_if2 inet proto tcp from any to any port 3333 -> 10.0.0.104 port 3389
и в низу после всех pass
pass in on $ext_if reply-to ( $ext_if $ext_if_gw ) inet proto tcp from any to 10.0.0.4 port {3333, 3389} flags S/SA keep state
pass in on $ext_if2 reply-to ( $ext_if2 $ext_if2_gw ) inet proto tcp from any to 10.0.0.104 port {3333,3389} flags S/SA keep state
Подсажите где не так очень прошу бьюсь уже месяц

Содержание

2 внешних канала через pf,cemen13, 14:32 , 03-Дек-09
- 2 внешних канала через pf,cemen13, 14:41 , 03-Дек-09
pf 2 канала,vagif, 18:27 , 03-Дек-09
- pf 2 канала,cemen13, 19:03 , 03-Дек-09
  - pf 2 канала,cemen13, 13:08 , 05-Дек-09
    - pf 2 канала,rusdis, 15:02 , 16-Дек-09
pf 2 канала,Pahanivo, 16:19 , 16-Дек-09
- pf 2 канала,rusdis, 17:15 , 16-Дек-09
  - pf 2 канала,Pahanivo, 18:29 , 16-Дек-09
    - pf 2 канала,rusdis, 18:38 , 16-Дек-09
      - pf 2 канала,Pahanivo, 18:50 , 16-Дек-09
        
        pf 2 канала,rusdis, 18:59 , 16-Дек-09
        
        pf 2 канала,Pahanivo, 07:54 , 17-Дек-09
        
        pf 2 канала,rusdis, 09:47 , 17-Дек-09

Сообщения в этом обсуждении

"2 внешних канала через pf"
Отправлено cemen13 , 03-Дек-09 14:32

>[оверквотинг удален]
>rdr pass on $ext_if2 inet proto tcp from any to any port 3333 -> 10.0.0.104 port 3389
>
>и в низу после всех pass
>pass in on $ext_if reply-to ( $ext_if $ext_if_gw ) inet proto tcp
>from any to 10.0.0.4 port {3333, 3389} flags S/SA keep state
>
>pass in on $ext_if2 reply-to ( $ext_if2 $ext_if2_gw ) inet proto tcp
>from any to 10.0.0.104 port {3333,3389} flags S/SA keep state
>
>Подсажите где не так очень прошу бьюсь уже месяц

"2 внешних канала через pf"
Отправлено cemen13 , 03-Дек-09 14:41

Народ помогите плиззззз!!!!!

"pf 2 канала"
Отправлено vagif , 03-Дек-09 18:27

>pass in on $ext_if reply-to ( $ext_if $ext_if_gw ) inet proto tcp
>from any to 10.0.0.4 port {3333, 3389} flags S/SA keep state
>
а что если IP поменять на 10.0.0.104? ;)

"pf 2 канала"
Отправлено cemen13 , 03-Дек-09 19:03

У меня такой и стоит 10.0.0.104 это (10.0.0.4)просто описался )))

"pf 2 канала"
Отправлено cemen13 , 05-Дек-09 13:08

Народ ну помогите прошу, что ни у кого не было таких проблем ((((

"pf 2 канала"
Отправлено rusdis , 16-Дек-09 15:02

Попробуйте так, т.е. добавив nat, разрешив out, у меня примерно по такой схеме работает, причем $ext_if и $ext_if2 уменя не являются шлюзами по умолчанию.
nat     on      $ext_if -> ($ext_if)
nat     on      $ext_if2-> ($ext_if2)
rdr on $ext_if  proto {tcp,udp} from any to any port 3333 -> 10.0.0.104 port 3389
rdr on $ext_if2 proto {tcp,udp} from any to any port 3333 -> 10.0.0.104 port 3389
pass in on  $ext_if reply-to($ext_if $ext_if_gw) proto {tcp,udp} from any to 10.0.0.104 port {3389} flags S/SA modulate state
pass out quick on $ext_if route-to($ext_if $ext_if_gw) proto {tcp,udp,gre} from any to any flags S/SA modulate state
pass in on  $ext_if2 reply-to($ext_if2 $ext_if2_gw) proto {tcp,udp} from any to 10.0.0.104 port {3389} flags S/SA modulate state
pass out quick on $ext_if route-to($ext_if2 $ext_if2_gw) proto {tcp,udp,gre} from any to any flags S/SA modulate state

"pf 2 канала"
Отправлено Pahanivo , 16-Дек-09 16:19

>Всем привет облазил кучу форумов много про это пишут но у меня
>не работают 2 канала из интернет.
>Есть некоторое количество сервисов в локалке с серыми айпишниками, на которые необходимо
>редиректить соединения из вне... к примеру: 3389 и 4899. Необходимо, чтобы
>эти сервисы БЫЛИ ДОСТУПНЫ С ОБОИХ ВНЕШНИХ IP. Баллансировка пока не
>нужна.
думаю тут как всегда все бонально:
1) пакет пришел НЕ ЧЕРЕЗ дефалут
2) парет средиректился (точно также как на дефаулте, тут думаю все нормально)
3) вопрос - куда улетит ответный пакет?

"pf 2 канала"
Отправлено rusdis , 16-Дек-09 17:15

Я думаю tcpdump и pflog скажет что куда уходит,
у меня 2 внешних ip, defaul route настроен на третий ip который по NAT и работает.

"pf 2 канала"
Отправлено Pahanivo , 16-Дек-09 18:29

>Я думаю tcpdump и pflog скажет что куда уходит,
я думаю надо для начала подумать и использовать здравый смысл))
>у меня 2 внешних ip, defaul route настроен на третий ip который
еще раз внимательно читаем топ и ищем разницу между двумя КАНАЛАМИ и двумя АЙПИ
>по NAT и работает.
третий айпи? дефаулт на нат? )) жесть ...
начнем с того что дефоулт настраивается не на твой айпи )))

"pf 2 канала"
Отправлено rusdis , 16-Дек-09 18:38

>еще раз внимательно читаем топ и ищем разницу между двумя КАНАЛАМИ и
>двумя АЙПИ
>>по NAT и работает.
>
>третий айпи? дефаулт на нат? )) жесть ...
>начнем с того что дефоулт настраивается не на твой айпи )))
А что делать? ISP выдает IP 10.8.37.4 шлюз 10.8.37.1 на внехе выходит через ххх.хх.хх.хх.
Остальные IP получаю по VPN, естественно что самый стабильный путь это на шлюз провайдера, т.к. VPN может разорвать и т.д. ну и т.к. этот канал пошустрее чем VPN
А насчет каналов могу добавить, т.к. внешние у меня доступны только через VPN то получаю соответсвенно ng0, ng1 интерфейсов. vlan5 - default gateway to isp.

"pf 2 канала"
Отправлено Pahanivo , 16-Дек-09 18:50

>[оверквотинг удален]
>>начнем с того что дефоулт настраивается не на твой айпи )))
>
>А что делать? ISP выдает IP 10.8.37.4 шлюз 10.8.37.1 на внехе выходит
>через ххх.хх.хх.хх.
>Остальные IP получаю по VPN, естественно что самый стабильный путь это на
>шлюз провайдера, т.к. VPN может разорвать и т.д. ну и т.к.
>этот канал пошустрее чем VPN
>А насчет каналов могу добавить, т.к. внешние у меня доступны только через
>VPN то получаю соответсвенно ng0, ng1 интерфейсов. vlan5 - default gateway
>to isp.
речь о двух независимых КАНАЛАХ

"pf 2 канала"
Отправлено rusdis , 16-Дек-09 18:59

>речь о двух независимых КАНАЛАХ
по вашему ng0, ng1 зависимые каналы? отчего? они зависят только от наличия связи на vlan5. tcpdum -i vlan5 ничего не покажет кроме gre до vpn серверов, а вот tcpdump -i ng0 или ng1 покажет какие пакеты туда сыпятся, такч то я счита что они ничем не отличаются от физических таких как re, rl и т.д.
у каждого ng имеется свой шлюз также как и у физических.

"pf 2 канала"
Отправлено Pahanivo , 17-Дек-09 07:54

>>речь о двух независимых КАНАЛАХ
>
>по вашему ng0, ng1 зависимые каналы? отчего? они зависят только от наличия
>связи на vlan5. tcpdum -i vlan5 ничего не покажет кроме gre
>до vpn серверов, а вот tcpdump -i ng0 или ng1 покажет
>какие пакеты туда сыпятся, такч то я счита что они ничем
>не отличаются от физических таких как re, rl и т.д.
>у каждого ng имеется свой шлюз также как и у физических.
зачем тебе два тунеля на отдном физическом?

"pf 2 канала"
Отправлено rusdis , 17-Дек-09 09:47

>зачем тебе два тунеля на отдном физическом?
см.выше.
>А что делать? ISP выдает IP 10.8.37.4 шлюз 10.8.37.1 на внехе выходит через ххх.хх.хх.хх.
>Остальные IP получаю по VPN,