https://www.opennet.ru/openforum/vsluhforumID1/82478.html Понимаю что тема уже пережевана, но ничего не выходит.<br>Задача стоит в следующем:<br>Есть 2 канала<br>rl0 - оплата по трафику IP 81.200.6.190 Шлюз 81.200.6.1<br>rl2 - безлимитка "стрим" IP 192.168.1.2 Шлюз 192.168.1.1<br><br>Внутреняя сетка<br>rl1 - 192.168.0.0<br><br>Задача состоит в том, чтобы из внутренней сетки пользователи ходили в инет и получали HTTP через rl0, весь остальной трафик должен идти через канал с реальными адресами.<br><br>На серваке стоит Squid, даже если в нем указывать tcp_outgoing_address 192.168.1.2 то через diver трафик всеравно направляется на rl0, как это решить ??<br><br>Пробывал по даннй статье, всеравно не выходит.<br>http://www.samag.ru/art/02.2007/02.2007_09.html<br> https://www.opennet.ru/openforum/vsluhforumID1/82478.html#16 Tue, 21 Oct 2008 21:09:15 GMT выбираем маршрутом по умолчанию - шлюз первого провайдера<br> route add default 81.200.6.1<br><br>запускаем два natd:<br> /sbin/natd -p 8668 -alias_address 81.200.6.190<br> /sbin/natd -p 8669 -alias_address 192.168.1.2<br><br>сам ipfirewall:<br><br>add 100 allow ip from any to any via lo0<br>add 200 deny ip from 127.0.0.0/8 to any<br>add 300 deny ip from any to 127.0.0.0/8<br><br>add 500 skipto 10000 ip from any to any in recv rl1<br>add 550 skipto 15000 ip from any to any out xmit rl1<br>add 600 skipto 20000 ip from any to any in recv rl0<br>add 650 skipto 25000 ip from any to any out xmit rl0<br>add 700 skipto 30000 ip from any to any in recv rl2<br>add 750 skipto 35000 ip from any to any out xmit rl2<br><br>add 900 deny log ip from any to any<br><br>add 10000 cont ip from any to any<br># тут можно блокировать трафик из локалка<br>add 14000 allow ip from any to any<br><br>add 15000 count ip from any to any<br># тут можно блокировать трафик в локалку<br>add 19000 allow ip from any to any<br><br># rl0 - in<br>add 20000 count ip from any to any<br>add 21050 deny ip from https://www.opennet.ru/openforum/vsluhforumID1/82478.html#15 Tue, 21 Oct 2008 14:16:49 GMT &gt;Склоняюсь к тому, что Павел сам не знает как это сделать, раз <br>&gt;не может помочь или показать рабочий пример. <br><br>да склоняйся к чему хочешь, если прочитать и исправить свои правила не умеешь.<br><br><br>повторять в третий раз написанное мной выше я не буду. Если внимательности ноль - помогать бесполезно. До готового решения в моих словах - полшага. <br><br>Мляя. Все таки повторю.<br><br>Ключевой момент: пакет проходит через файрволл два раза.<br><br>Вы его крутите на входе.<br><br>НАДО ПАКЕТ NAT-ить НА ВЫХОДЕ.<br> https://www.opennet.ru/openforum/vsluhforumID1/82478.html#14 Tue, 21 Oct 2008 13:12:27 GMT Склоняюсь к тому, что Павел сам не знает как это сделать, раз не может помочь или показать рабочий пример.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/82478.html#13 Tue, 21 Oct 2008 08:17:22 GMT &gt;Вы это имели в виду ?? <br>&gt;divert 8669 log ip from 192.168.0.4 to any <br>&gt;divert 8668 log ip from 192.168.0.44 to any <br>&gt;divert 8669 log ip from any to 192.168.1.2 in via rl2 <br>&gt;divert 8668 log ip from any to 81.200.6.190 in via rl0 <br>&gt;fwd 192.168.1.1 log ip from 192.168.1.2 to any <br>&gt;fwd 81.200.6.1 log ip from 81.200.6.190 to any <br>&gt; В чем я ошибся?<br><br>В том, что каждый пакет проходит файрволл на входе в одну сетевую и второй раз на выходе через вторую.<br><br>форвард и нат надо делать только на выходе. На входе ничего делать не надо.<br><br>Добавьте in via rl0, in via rl2 в соответствующие правила.<br><br>Не забывайте, что пакет всё еще стремится пойти в тот интерфейс, куда ему говорит таблица маршрутизации.<br><br>Без дефолтного шлюза форварда также не будет )<br><br><br><br>-----------------<br><br>Могу повторить CAPS LOCK-ом.<br> https://www.opennet.ru/openforum/vsluhforumID1/82478.html#12 Tue, 21 Oct 2008 07:59:41 GMT &gt;$cmd nat 10 config ip $NATIP1 <br>&gt;$cmd nat 20 config ip $NATIP2 <br>&gt;<br>&gt;$cmd add nat 20 ip from $myaddr to $anyaddr <br>&gt;$cmd add fwd $GW2 ip from $myaddr to $anyaddr <br>&gt;$cmd add nat 10 ip from 192.168.0.0/16 to not 192.168.0.0/16 <br>&gt;$cmd add nat 10 ip from any to $NATIP1 via $uif <br>&gt;$cmd add nat 20 ip from 192.168.0.0/16 to not 192.168.0.0/16 <br>&gt;$cmd add nat 20 ip from any to $NATIP2 via $tif <br><br>Сделал по аналогии всеравно стремиться на rl0<br>divert 8669 log ip from 192.168.0.4 to any <br>fwd 192.168.1.1 log ip from 192.168.1.2 to any <br>deny ip from 192.168.0.0/16 to not 192.168.0.0/16 <br>divert 8668 log ip from any to 81.200.6.190 via rl0<br>deny ip from 192.168.0.0/16 to not 192.168.0.0/16 <br>divert 8669 log ip from any to 192.168.1.2 via rl2 <br> https://www.opennet.ru/openforum/vsluhforumID1/82478.html#11 Tue, 21 Oct 2008 06:13:23 GMT &gt;Мля, тупость просто ненавижу. Перечитайте мой ответ вам еще раз. <br>&gt;<br>&gt;А, вы на это не способны. Чтож, процитирую еще раз: <br>&gt;<br>&gt;&gt;форвард и нат надо делать только на выходе. На входе ничего делать <br>&gt;&gt;не надо. <br>&gt;<br>&gt;Тяжко разжеванное пережевать ? <br><br>Павел, я попросил помощи, а не оскорблений.<br><br>Вы это имели в виду ??<br>divert 8669 log ip from 192.168.0.4 to any <br>divert 8668 log ip from 192.168.0.44 to any <br>divert 8669 log ip from any to 192.168.1.2 in via rl2 <br>divert 8668 log ip from any to 81.200.6.190 in via rl0<br>fwd 192.168.1.1 log ip from 192.168.1.2 to any <br>fwd 81.200.6.1 log ip from 81.200.6.190 to any <br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/82478.html#10 Mon, 20 Oct 2008 16:49:28 GMT &gt;[оверквотинг удален]<br>&gt;$cmd nat 20 config ip $NATIP2 <br>&gt;<br>&gt;$cmd add nat 20 ip from $myaddr to $anyaddr <br>&gt;$cmd add fwd $GW2 ip from $admins to 159.182.111.0/24 <br>&gt;$cmd add nat 10 ip from 192.168.0.0/16 to not 192.168.0.0/16 <br>&gt;$cmd add nat 10 ip from any to $NATIP1 via $uif <br>&gt;$cmd add nat 20 ip from 192.168.0.0/16 to not 192.168.0.0/16 <br>&gt;$cmd add nat 20 ip from any to $NATIP2 via $tif <br>&gt;<br>&gt;Это примерно... Но у меня получалось... <br><br>поправочка, со спеху опечатался.<br><br>$cmd nat 10 config ip $NATIP1<br>$cmd nat 20 config ip $NATIP2<br><br>$cmd add nat 20 ip from $myaddr to $anyaddr<br>$cmd add fwd $GW2 ip from $myaddr to $anyaddr<br>$cmd add nat 10 ip from 192.168.0.0/16 to not 192.168.0.0/16<br>$cmd add nat 10 ip from any to $NATIP1 via $uif<br>$cmd add nat 20 ip from 192.168.0.0/16 to not 192.168.0.0/16<br>$cmd add nat 20 ip from any to $NATIP2 via $tif<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/82478.html#9 Mon, 20 Oct 2008 16:47:15 GMT &gt;[оверквотинг удален]<br>&gt;Задача состоит в том, чтобы из внутренней сетки пользователи ходили в инет <br>&gt;и получали HTTP через rl0, весь остальной трафик должен идти через <br>&gt;канал с реальными адресами. <br>&gt;<br>&gt;На серваке стоит Squid, даже если в нем указывать tcp_outgoing_address 192.168.1.2 то <br>&gt;через diver трафик всеравно направляется на rl0, как это решить ?? <br>&gt;<br>&gt;<br>&gt;Пробывал по даннй статье, всеравно не выходит. <br>&gt;http://www.samag.ru/art/02.2007/02.2007_09.html <br><br>юзай kernel nat<br><br>$cmd nat 10 config ip $NATIP1<br>$cmd nat 20 config ip $NATIP2<br><br>$cmd add nat 20 ip from $myaddr to $anyaddr<br>$cmd add fwd $GW2 ip from $admins to 159.182.111.0/24<br>$cmd add nat 10 ip from 192.168.0.0/16 to not 192.168.0.0/16<br>$cmd add nat 10 ip from any to $NATIP1 via $uif<br>$cmd add nat 20 ip from 192.168.0.0/16 to not 192.168.0.0/16<br>$cmd add nat 20 ip from any to $NATIP2 via $tif<br><br>Это примерно... Но у меня получалось...<br><br> https://www.opennet.ru/openforum/vsluhforumID1/82478.html#8 Mon, 20 Oct 2008 15:54:25 GMT &gt;[оверквотинг удален]<br>&gt;&gt;но это ничего не дало <br>&gt;<br>&gt;Мля, тупость просто ненавижу. Перечитайте мой ответ вам еще раз. <br>&gt;<br>&gt;А, вы на это не способны. Чтож, процитирую еще раз: <br>&gt;<br>&gt;&gt;форвард и нат надо делать только на выходе. На входе ничего делать <br>&gt;&gt;не надо. <br>&gt;<br>&gt;Тяжко разжеванное пережевать ? <br><br>Извините, вырвалось.<br><br>