forum.opennet.ru - "pf 2 канала" (14)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"pf 2 канала"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"pf 2 канала"		+/–
Сообщение от cemen13 (ok) on 03-Дек-09, 12:36
Всем привет облазил кучу форумов много про это пишут но у меня не работают 2 канала из интернет. Есть некоторое количество сервисов в локалке с серыми айпишниками, на которые необходимо редиректить соединения из вне... к примеру: 3389 и 4899. Необходимо, чтобы эти сервисы БЫЛИ ДОСТУПНЫ С ОБОИХ ВНЕШНИХ IP. Баллансировка пока не нужна. Есть гейт под управлением FreeBSD 6.3. C 3мя интерфейсами: firewall pf rl0 # локалка rl1 # лимитка это default ext_if rl2 # безлимитка ext_if2 в првилах pf.conf так на default тут работает rdr pass on $ext_if inet proto tcp from any to any port 3333 -> 10.0.0.104 port 3389 а на втором нет rdr pass on $ext_if2 inet proto tcp from any to any port 3333 -> 10.0.0.104 port 3389 и в низу после всех pass pass in on $ext_if reply-to ( $ext_if $ext_if_gw ) inet proto tcp from any to 10.0.0.4 port {3333, 3389} flags S/SA keep state pass in on $ext_if2 reply-to ( $ext_if2 $ext_if2_gw ) inet proto tcp from any to 10.0.0.104 port {3333,3389} flags S/SA keep state Подсажите где не так очень прошу бьюсь уже месяц
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

2 внешних канала через pf, cemen13, 14:32 , 03-Дек-09, (1)

2 внешних канала через pf, cemen13, 14:41 , 03-Дек-09, (2)

pf 2 канала, vagif, 18:27 , 03-Дек-09, (3)

pf 2 канала, cemen13, 19:03 , 03-Дек-09, (4)

pf 2 канала, cemen13, 13:08 , 05-Дек-09, (5)

pf 2 канала, rusdis, 15:02 , 16-Дек-09, (6)

pf 2 канала, Pahanivo, 16:19 , 16-Дек-09, (7)

pf 2 канала, rusdis, 17:15 , 16-Дек-09, (8)

pf 2 канала, Pahanivo, 18:29 , 16-Дек-09, (9)

pf 2 канала, rusdis, 18:38 , 16-Дек-09, (10)

pf 2 канала, Pahanivo, 18:50 , 16-Дек-09, (11)

pf 2 канала, rusdis, 18:59 , 16-Дек-09, (12)

pf 2 канала, Pahanivo, 07:54 , 17-Дек-09, (13)

pf 2 канала, rusdis, 09:47 , 17-Дек-09, (14)

Сообщения по теме [Сортировка по времени | RSS]

1. "2 внешних канала через pf" +/–

Сообщение от cemen13 (ok) on 03-Дек-09, 14:32

>[оверквотинг удален]
>rdr pass on $ext_if2 inet proto tcp from any to any port 3333 -> 10.0.0.104 port 3389
>
>и в низу после всех pass
>pass in on $ext_if reply-to ( $ext_if $ext_if_gw ) inet proto tcp
>from any to 10.0.0.4 port {3333, 3389} flags S/SA keep state
>
>pass in on $ext_if2 reply-to ( $ext_if2 $ext_if2_gw ) inet proto tcp
>from any to 10.0.0.104 port {3333,3389} flags S/SA keep state
>
>Подсажите где не так очень прошу бьюсь уже месяц

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "2 внешних канала через pf" +/–

Сообщение от cemen13 (ok) on 03-Дек-09, 14:41

Народ помогите плиззззз!!!!!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "pf 2 канала" +/–

Сообщение от vagif (ok) on 03-Дек-09, 18:27

>pass in on $ext_if reply-to ( $ext_if $ext_if_gw ) inet proto tcp
>from any to 10.0.0.4 port {3333, 3389} flags S/SA keep state
>
а что если IP поменять на 10.0.0.104? ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "pf 2 канала" +/–

Сообщение от cemen13 (??) on 03-Дек-09, 19:03

У меня такой и стоит 10.0.0.104 это (10.0.0.4)просто описался )))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "pf 2 канала" +/–

Сообщение от cemen13 (??) on 05-Дек-09, 13:08

Народ ну помогите прошу, что ни у кого не было таких проблем ((((

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "pf 2 канала" +/–

Сообщение от rusdis (ok) on 16-Дек-09, 15:02

Попробуйте так, т.е. добавив nat, разрешив out, у меня примерно по такой схеме работает, причем $ext_if и $ext_if2 уменя не являются шлюзами по умолчанию.
nat     on      $ext_if -> ($ext_if)
nat     on      $ext_if2-> ($ext_if2)
rdr on $ext_if  proto {tcp,udp} from any to any port 3333 -> 10.0.0.104 port 3389
rdr on $ext_if2 proto {tcp,udp} from any to any port 3333 -> 10.0.0.104 port 3389
pass in on  $ext_if reply-to($ext_if $ext_if_gw) proto {tcp,udp} from any to 10.0.0.104 port {3389} flags S/SA modulate state
pass out quick on $ext_if route-to($ext_if $ext_if_gw) proto {tcp,udp,gre} from any to any flags S/SA modulate state
pass in on  $ext_if2 reply-to($ext_if2 $ext_if2_gw) proto {tcp,udp} from any to 10.0.0.104 port {3389} flags S/SA modulate state
pass out quick on $ext_if route-to($ext_if2 $ext_if2_gw) proto {tcp,udp,gre} from any to any flags S/SA modulate state

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "pf 2 канала" +/–

Сообщение от Pahanivo (ok) on 16-Дек-09, 16:19

>Всем привет облазил кучу форумов много про это пишут но у меня
>не работают 2 канала из интернет.
>Есть некоторое количество сервисов в локалке с серыми айпишниками, на которые необходимо
>редиректить соединения из вне... к примеру: 3389 и 4899. Необходимо, чтобы
>эти сервисы БЫЛИ ДОСТУПНЫ С ОБОИХ ВНЕШНИХ IP. Баллансировка пока не
>нужна.
думаю тут как всегда все бонально:
1) пакет пришел НЕ ЧЕРЕЗ дефалут
2) парет средиректился (точно также как на дефаулте, тут думаю все нормально)
3) вопрос - куда улетит ответный пакет?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "pf 2 канала" +/–

Сообщение от rusdis (ok) on 16-Дек-09, 17:15

Я думаю tcpdump и pflog скажет что куда уходит,
у меня 2 внешних ip, defaul route настроен на третий ip который по NAT и работает.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "pf 2 канала" +/–

Сообщение от Pahanivo (ok) on 16-Дек-09, 18:29

>Я думаю tcpdump и pflog скажет что куда уходит,
я думаю надо для начала подумать и использовать здравый смысл))
>у меня 2 внешних ip, defaul route настроен на третий ip который
еще раз внимательно читаем топ и ищем разницу между двумя КАНАЛАМИ и двумя АЙПИ
>по NAT и работает.
третий айпи? дефаулт на нат? )) жесть ...
начнем с того что дефоулт настраивается не на твой айпи )))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "pf 2 канала" +/–

Сообщение от rusdis (ok) on 16-Дек-09, 18:38

>еще раз внимательно читаем топ и ищем разницу между двумя КАНАЛАМИ и
>двумя АЙПИ
>>по NAT и работает.
>
>третий айпи? дефаулт на нат? )) жесть ...
>начнем с того что дефоулт настраивается не на твой айпи )))
А что делать? ISP выдает IP 10.8.37.4 шлюз 10.8.37.1 на внехе выходит через ххх.хх.хх.хх.
Остальные IP получаю по VPN, естественно что самый стабильный путь это на шлюз провайдера, т.к. VPN может разорвать и т.д. ну и т.к. этот канал пошустрее чем VPN
А насчет каналов могу добавить, т.к. внешние у меня доступны только через VPN то получаю соответсвенно ng0, ng1 интерфейсов. vlan5 - default gateway to isp.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "pf 2 канала" +/–

Сообщение от Pahanivo (ok) on 16-Дек-09, 18:50

>[оверквотинг удален]
>>начнем с того что дефоулт настраивается не на твой айпи )))
>
>А что делать? ISP выдает IP 10.8.37.4 шлюз 10.8.37.1 на внехе выходит
>через ххх.хх.хх.хх.
>Остальные IP получаю по VPN, естественно что самый стабильный путь это на
>шлюз провайдера, т.к. VPN может разорвать и т.д. ну и т.к.
>этот канал пошустрее чем VPN
>А насчет каналов могу добавить, т.к. внешние у меня доступны только через
>VPN то получаю соответсвенно ng0, ng1 интерфейсов. vlan5 - default gateway
>to isp.
речь о двух независимых КАНАЛАХ

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "pf 2 канала" +/–

Сообщение от rusdis (ok) on 16-Дек-09, 18:59

>речь о двух независимых КАНАЛАХ
по вашему ng0, ng1 зависимые каналы? отчего? они зависят только от наличия связи на vlan5. tcpdum -i vlan5 ничего не покажет кроме gre до vpn серверов, а вот tcpdump -i ng0 или ng1 покажет какие пакеты туда сыпятся, такч то я счита что они ничем не отличаются от физических таких как re, rl и т.д.
у каждого ng имеется свой шлюз также как и у физических.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "pf 2 канала" +/–

Сообщение от Pahanivo (ok) on 17-Дек-09, 07:54

>>речь о двух независимых КАНАЛАХ
>
>по вашему ng0, ng1 зависимые каналы? отчего? они зависят только от наличия
>связи на vlan5. tcpdum -i vlan5 ничего не покажет кроме gre
>до vpn серверов, а вот tcpdump -i ng0 или ng1 покажет
>какие пакеты туда сыпятся, такч то я счита что они ничем
>не отличаются от физических таких как re, rl и т.д.
>у каждого ng имеется свой шлюз также как и у физических.
зачем тебе два тунеля на отдном физическом?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "pf 2 канала" +/–

Сообщение от rusdis (ok) on 17-Дек-09, 09:47

>зачем тебе два тунеля на отдном физическом?
см.выше.
>А что делать? ISP выдает IP 10.8.37.4 шлюз 10.8.37.1 на внехе выходит через ххх.хх.хх.хх.
>Остальные IP получаю по VPN,

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "2 внешних канала через pf"		+/–
Сообщение от cemen13 (ok) on 03-Дек-09, 14:32
>[оверквотинг удален] >rdr pass on $ext_if2 inet proto tcp from any to any port 3333 -> 10.0.0.104 port 3389 > >и в низу после всех pass >pass in on $ext_if reply-to ( $ext_if $ext_if_gw ) inet proto tcp >from any to 10.0.0.4 port {3333, 3389} flags S/SA keep state > >pass in on $ext_if2 reply-to ( $ext_if2 $ext_if2_gw ) inet proto tcp >from any to 10.0.0.104 port {3333,3389} flags S/SA keep state > >Подсажите где не так очень прошу бьюсь уже месяц
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "2 внешних канала через pf"		+/–
	Сообщение от cemen13 (ok) on 03-Дек-09, 14:41
	Народ помогите плиззззз!!!!!
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

3. "pf 2 канала"		+/–
Сообщение от vagif (ok) on 03-Дек-09, 18:27
>pass in on $ext_if reply-to ( $ext_if $ext_if_gw ) inet proto tcp >from any to 10.0.0.4 port {3333, 3389} flags S/SA keep state > а что если IP поменять на 10.0.0.104? ;)
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "pf 2 канала"		+/–
	Сообщение от cemen13 (??) on 03-Дек-09, 19:03
	У меня такой и стоит 10.0.0.104 это (10.0.0.4)просто описался )))
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "pf 2 канала"		+/–
	Сообщение от cemen13 (??) on 05-Дек-09, 13:08
	Народ ну помогите прошу, что ни у кого не было таких проблем ((((
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "pf 2 канала"		+/–
	Сообщение от rusdis (ok) on 16-Дек-09, 15:02
	Попробуйте так, т.е. добавив nat, разрешив out, у меня примерно по такой схеме работает, причем $ext_if и $ext_if2 уменя не являются шлюзами по умолчанию. nat on $ext_if -> ($ext_if) nat on $ext_if2-> ($ext_if2) rdr on $ext_if proto {tcp,udp} from any to any port 3333 -> 10.0.0.104 port 3389 rdr on $ext_if2 proto {tcp,udp} from any to any port 3333 -> 10.0.0.104 port 3389 pass in on $ext_if reply-to($ext_if $ext_if_gw) proto {tcp,udp} from any to 10.0.0.104 port {3389} flags S/SA modulate state pass out quick on $ext_if route-to($ext_if $ext_if_gw) proto {tcp,udp,gre} from any to any flags S/SA modulate state pass in on $ext_if2 reply-to($ext_if2 $ext_if2_gw) proto {tcp,udp} from any to 10.0.0.104 port {3389} flags S/SA modulate state pass out quick on $ext_if route-to($ext_if2 $ext_if2_gw) proto {tcp,udp,gre} from any to any flags S/SA modulate state
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

7. "pf 2 канала"		+/–
Сообщение от Pahanivo (ok) on 16-Дек-09, 16:19
>Всем привет облазил кучу форумов много про это пишут но у меня >не работают 2 канала из интернет. >Есть некоторое количество сервисов в локалке с серыми айпишниками, на которые необходимо >редиректить соединения из вне... к примеру: 3389 и 4899. Необходимо, чтобы >эти сервисы БЫЛИ ДОСТУПНЫ С ОБОИХ ВНЕШНИХ IP. Баллансировка пока не >нужна. думаю тут как всегда все бонально: 1) пакет пришел НЕ ЧЕРЕЗ дефалут 2) парет средиректился (точно также как на дефаулте, тут думаю все нормально) 3) вопрос - куда улетит ответный пакет?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "pf 2 канала"		+/–
	Сообщение от rusdis (ok) on 16-Дек-09, 17:15
	Я думаю tcpdump и pflog скажет что куда уходит, у меня 2 внешних ip, defaul route настроен на третий ip который по NAT и работает.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "pf 2 канала"		+/–
	Сообщение от Pahanivo (ok) on 16-Дек-09, 18:29
	>Я думаю tcpdump и pflog скажет что куда уходит, я думаю надо для начала подумать и использовать здравый смысл)) >у меня 2 внешних ip, defaul route настроен на третий ip который еще раз внимательно читаем топ и ищем разницу между двумя КАНАЛАМИ и двумя АЙПИ >по NAT и работает. третий айпи? дефаулт на нат? )) жесть ... начнем с того что дефоулт настраивается не на твой айпи )))
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "pf 2 канала"		+/–
	Сообщение от rusdis (ok) on 16-Дек-09, 18:38
	>еще раз внимательно читаем топ и ищем разницу между двумя КАНАЛАМИ и >двумя АЙПИ >>по NAT и работает. > >третий айпи? дефаулт на нат? )) жесть ... >начнем с того что дефоулт настраивается не на твой айпи ))) А что делать? ISP выдает IP 10.8.37.4 шлюз 10.8.37.1 на внехе выходит через ххх.хх.хх.хх. Остальные IP получаю по VPN, естественно что самый стабильный путь это на шлюз провайдера, т.к. VPN может разорвать и т.д. ну и т.к. этот канал пошустрее чем VPN А насчет каналов могу добавить, т.к. внешние у меня доступны только через VPN то получаю соответсвенно ng0, ng1 интерфейсов. vlan5 - default gateway to isp.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "pf 2 канала"		+/–
	Сообщение от Pahanivo (ok) on 16-Дек-09, 18:50
	>[оверквотинг удален] >>начнем с того что дефоулт настраивается не на твой айпи ))) > >А что делать? ISP выдает IP 10.8.37.4 шлюз 10.8.37.1 на внехе выходит >через ххх.хх.хх.хх. >Остальные IP получаю по VPN, естественно что самый стабильный путь это на >шлюз провайдера, т.к. VPN может разорвать и т.д. ну и т.к. >этот канал пошустрее чем VPN >А насчет каналов могу добавить, т.к. внешние у меня доступны только через >VPN то получаю соответсвенно ng0, ng1 интерфейсов. vlan5 - default gateway >to isp. речь о двух независимых КАНАЛАХ
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "pf 2 канала"		+/–
	Сообщение от rusdis (ok) on 16-Дек-09, 18:59
	>речь о двух независимых КАНАЛАХ по вашему ng0, ng1 зависимые каналы? отчего? они зависят только от наличия связи на vlan5. tcpdum -i vlan5 ничего не покажет кроме gre до vpn серверов, а вот tcpdump -i ng0 или ng1 покажет какие пакеты туда сыпятся, такч то я счита что они ничем не отличаются от физических таких как re, rl и т.д. у каждого ng имеется свой шлюз также как и у физических.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "pf 2 канала"		+/–
	Сообщение от Pahanivo (ok) on 17-Дек-09, 07:54
	>>речь о двух независимых КАНАЛАХ > >по вашему ng0, ng1 зависимые каналы? отчего? они зависят только от наличия >связи на vlan5. tcpdum -i vlan5 ничего не покажет кроме gre >до vpn серверов, а вот tcpdump -i ng0 или ng1 покажет >какие пакеты туда сыпятся, такч то я счита что они ничем >не отличаются от физических таких как re, rl и т.д. >у каждого ng имеется свой шлюз также как и у физических. зачем тебе два тунеля на отдном физическом?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "pf 2 канала"		+/–
	Сообщение от rusdis (ok) on 17-Дек-09, 09:47
	>зачем тебе два тунеля на отдном физическом? см.выше. >А что делать? ISP выдает IP 10.8.37.4 шлюз 10.8.37.1 на внехе выходит через ххх.хх.хх.хх. >Остальные IP получаю по VPN,
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору