https://www.opennet.ru/openforum/vsluhforumID1/88785.html В сети 10.0.0/24 три шлюза: <br>10.0.0.1 <br>10.0.0.2(алиас 10.1.1.1) <br>10.0.0.3(алиас 10.2.2.2) <br><br>FreeBSD 7.2(vmware): <br>(le0) 10.0.0.4 <br>(le1) 10.1.1.11 <br>(le2) 10.2.2.22 <br><br>10.0.0.1 - дорогой, быстрый, стабильный.<br>10.0.0.2 и 3 - медленные, анлим, падучие.<br>Все шлюзы натят сетку 10.0.0/24 во внешний мир.<br><br>Подцепить шлюзы физически на машину с FreeBSD не получится.<br><br>Идея была - прописать у всех пользователей в сети 10.0.0.4 как шлюз, а 10.0.0.4 сам будет решать в зависимости от правил к какому из шлюзов направить запрос. Грубо говоря логика планировалась следующая: все сайты которые касаются работы - проходят через 10.0.0.1, остальные через 10.0.0.2 и 10.0.0.3<br><br>Посоветовали делать это через PF, но увы, у меня не получилось. Споткнулся я на том, что шлюзы на FreeBSD не ведут в инет, а ведут в сетку, в которой есть шлюз в инет. NAT правила не срабатывают, в итоге трафик течет по шлюзу указанному в defaultrouter. Тогда я сделал алиасы для шлюзов, чтобы каждый шлюз был в своей подсетке, но и тут меня ждала https://www.opennet.ru/openforum/vsluhforumID1/88785.html#19 Fri, 30 Apr 2010 10:52:16 GMT и в чем проблема?<br>клинеты ходят разными шлюзами в зависимости от адреса назначения.<br> https://www.opennet.ru/openforum/vsluhforumID1/88785.html#18 Fri, 30 Apr 2010 10:45:09 GMT &gt;[оверквотинг удален]<br>&gt;Клиенты всё шлют на 10.0.0.4, как на шлюз по-умолчанию. <br>&gt;Хост 10.0.0.4 в свою очередь шлет icmp сообщения клиенту, что в сети <br>&gt;есть шлюз 10.0.0.1. <br>&gt;У клиента появляется новый маршрут по умолчанию, указывающий на шлюз 10.0.0.1. <br>&gt;В следующий раз клиент всё шлет на новый шлюз 10.0.0.1, т.е. на <br>&gt;10.0.0.4 ничего не попадает. <br>&gt;<br>&gt;А вот если попробывать множественные таблицы маршрутизации Freebsd. <br>&gt;Потом подключаешь таблицы в зависимости от адреса источника или адреса назначния. <br>&gt;Каждому клиенту будет выдаваться своий маршрут по-умолчанию. <br><br>К сожалению такой вариант не подходит. К одним адресам пользователи подключаются через один шлюз, к другим через другой шлюз.<br> https://www.opennet.ru/openforum/vsluhforumID1/88785.html#17 Fri, 30 Apr 2010 04:44:51 GMT где-то так<br><br>one=1<br>two=2<br>three=3<br>setfib $one route add default 10.0.0.1<br>setfib $two route add default 10.0.0.2<br>setfib $three route add default 10.0.0.3<br><br><br>в правилах ipfw<br>setfib 1 ip from any to aaa.bbb.ccc.ddd<br>setfib 2 ip from any to AAA.BBB.CCC.DDD <br>setfib 3 ip from any to eee.fff.ggg.hhh<br> https://www.opennet.ru/openforum/vsluhforumID1/88785.html#16 Fri, 30 Apr 2010 04:38:04 GMT Рисую.<br>Сеть: 10.0.0.0/24 <br>Шлюзы: 10.0.0.1, 10.0.0.2, 10.0.0.3 (все шлюзы на разных машинах) <br>FreeBSD: 10.0.0.4 со шлюзом по-умолчанию - скажем 10.0.0.1<br>Клиенты: сеть 10.0.0.0/24 со шлюзом по-умолчанию 10.0.0.4<br><br>Клиенты всё шлют на 10.0.0.4, как на шлюз по-умолчанию. <br>Хост 10.0.0.4 в свою очередь шлет icmp сообщения клиенту, что в сети есть шлюз 10.0.0.1.<br>У клиента появляется новый маршрут по умолчанию, указывающий на шлюз 10.0.0.1.<br>В следующий раз клиент всё шлет на новый шлюз 10.0.0.1, т.е. на 10.0.0.4 ничего не попадает.<br><br>А вот если попробывать множественные таблицы маршрутизации Freebsd.<br>Потом подключаешь таблицы в зависимости от адреса источника или адреса назначния.<br>Каждому клиенту будет выдаваться своий маршрут по-умолчанию.<br><br> https://www.opennet.ru/openforum/vsluhforumID1/88785.html#15 Thu, 29 Apr 2010 16:57:24 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;и tcpdump на 10.0.0.2 <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;pass in on le0 from any to any <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;Сдается мне я где-то упускаю возвращаемые пакеты. Может здесь необходимо добавить reply-to? <br>&gt;&gt;&gt;<br>&gt;<br>&gt;Увы, всеравно бросает все через defaultrouter и tcpdump блокирует любую сетевую активность <br>&gt;при этом не отображая никаких пакетов. <br><br>тогда ставьте логирование правил, что бы видеть попадают пакеты в правила, или поставьте pftop ( там стрелочки влево, вправо ) будите видеть в реальном режиме какие правила срабатывают или pfctl используйте.<br><br>вывод pfctl -s all покажите.<br> https://www.opennet.ru/openforum/vsluhforumID1/88785.html#14 Thu, 29 Apr 2010 15:19:32 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;на входе <br>&gt;pass in on le0 route-to (le0 10.0.0.2) from any to ! 10.0.0.0/24 <br>&gt;<br>&gt;и tcpdump на 10.0.0.2 <br>&gt;&gt;<br>&gt;&gt;pass in on le0 from any to any <br>&gt;&gt;<br>&gt;&gt;Сдается мне я где-то упускаю возвращаемые пакеты. Может здесь необходимо добавить reply-to? <br>&gt;&gt;<br><br>Увы, всеравно бросает все через defaultrouter и tcpdump блокирует любую сетевую активность при этом не отображая никаких пакетов.<br><br> https://www.opennet.ru/openforum/vsluhforumID1/88785.html#13 Thu, 29 Apr 2010 15:03:53 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;Сеть: 10.0.0.0/24 <br>&gt;&gt;Шлюзы: 10.0.0.1, 10.0.0.2, 10.0.0.3 (все шлюзы на разных машинах) <br>&gt;&gt;FreeBSD: 10.0.0.4 <br>&gt;&gt;<br>&gt;&gt;FreeBSD(10.0.0.4) прописывается как дефолтный шлюз на всех клиентских машинах. При поступлении запросов <br>&gt;&gt;от пользователей на 10.0.0.4, FreeBSD распределяет запросы пользователей по шлюзам (10.0.0.1, <br>&gt;&gt;10.0.0.2, 10.0.0.3) в зависимости от пользователя и запрашиваемого им адреса. <br>&gt;<br>&gt;на FreeBSD выключены редирект сообщения icmp ? <br><br>log_redirect и drop_redirect равны нулю. Или речь не о них?<br><br> https://www.opennet.ru/openforum/vsluhforumID1/88785.html#12 Thu, 29 Apr 2010 13:47:36 GMT &gt;[оверквотинг удален]<br>&gt;2. PF натит этот пакет, заменяя адрес отправителя на свой <br>&gt;3. Меняет заголовк IP подставляя следующим хопом настоящий роутер. <br>&gt;<br>&gt;nat on le0 from !(self) to any -&gt; 10.0.0.4<br>&gt;pass out on le0 on route-to (le0 10.0.0.2) from 10.0.0.4 to any <br>&gt;<br>&gt;pass in on le0 from any to any <br>&gt;<br>&gt;Сдается мне я где-то упускаю возвращаемые пакеты. Может здесь необходимо добавить reply-to? <br>&gt;<br><br>ээээ, это уже было :)<br> https://www.opennet.ru/openforum/vsluhforumID1/88785.html#11 Thu, 29 Apr 2010 13:04:28 GMT &gt;&gt;Схема абсолютно не ясна. <br>&gt;<br>&gt;Сеть: 10.0.0.0/24 <br>&gt;Шлюзы: 10.0.0.1, 10.0.0.2, 10.0.0.3 (все шлюзы на разных машинах) <br>&gt;FreeBSD: 10.0.0.4 <br>&gt;<br>&gt;FreeBSD(10.0.0.4) прописывается как дефолтный шлюз на всех клиентских машинах. При поступлении запросов <br>&gt;от пользователей на 10.0.0.4, FreeBSD распределяет запросы пользователей по шлюзам (10.0.0.1, <br>&gt;10.0.0.2, 10.0.0.3) в зависимости от пользователя и запрашиваемого им адреса. <br><br>на FreeBSD выключены редирект сообщения icmp ?<br>