локалка, 10.10.10.0/24, rl0 10.10.10.1
1й ISP(основной), 10.3.0.0/16, vr0 10.3.3.54, шлюз 10.3.1.1
2й ISP(резервный), 192.168.1.0/24, vr1 192.168.1.2 , шлюз 192.168.1.1
задача - при проблемах с основным каналом переключиться на резервный. на сервере - www,почта и т.д. доступ этому всему нужен из внешнего мира. так же нужно раздавать интернет в локалке.
Впринципе задача решена. файрвол настроен, при проблемах с первым провайдером - route change default 192.168.1.1 и все продолжает работать, в локалке. но вот получить доступ к ресурсам сервера из внешнего мира через ip второго провайдера - не работает. подключение - ADSL, настроен как роутер, пробовал и пробрасывать порты и определять 192.168.1.2 как DMZ - не помогает. tcpdump на vr1 пакеты видит, но.. не работает.
Код: Выделить всё
[root@router ~]# telnet 213.227.241.250 25
Trying 213.227.241.250...
telnet: connect to address 213.227.241.250: Operation timed out
telnet: Unable to connect to remote host
Модем порты пробрасывает нормально. например 10000 с модема на 192,168,1,2, дальше с пом rinetd на 10.10.10.* - работает замечательно.
запуск natd
Код: Выделить всё
www# cat /usr/local/etc/rc.d/natd.sh
#!/bin/sh
/sbin/natd -a 10.3.3.54 -p 8668 -m -u
/sbin/natd -a 192.168.1.2 -p 8778 -m -u
Код: Выделить всё
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 deny ip from 10.10.10.0/24 to any in via vr0
00500 deny ip from 10.10.10.0/24 to any in via vr1
00600 deny ip from 10.3.0.0/16 to any in via rl0
00700 deny ip from 192.168.1.0/24 to any in via rl0
00800 deny ip from any to 172.16.0.0/12 in via vr0
00900 deny ip from any to 192.168.0.0/16 in via vr0
01000 deny ip from any to 0.0.0.0/8 in via vr0
01100 deny ip from any to 10.0.0.0/8 in via vr1
01200 deny ip from any to 172.16.0.0/12 in via vr1
01300 deny ip from any to 0.0.0.0/8 in via vr1
01400 deny ip from any to 169.254.0.0/16 in via vr0
01500 deny ip from any to 224.0.0.0/4 in via vr0
01600 deny ip from any to 169.254.0.0/16 in via vr1
01700 deny ip from any to 224.0.0.0/4 in via vr1
01800 deny ip from any to 240.0.0.0/4 in via vr0
01900 deny ip from any to 240.0.0.0/4 in via vr1
02000 deny icmp from any to any frag
02100 deny log logamount 100 icmp from any to 255.255.255.255 in via vr0
02200 deny log logamount 100 icmp from any to 255.255.255.255 out via vr0
02300 deny log logamount 100 icmp from any to 255.255.255.255 in via vr1
02400 deny log logamount 100 icmp from any to 255.255.255.255 out via vr1
02500 divert 8668 ip from 10.10.10.0/24 to any out via vr0
02600 divert 8668 ip from any to 10.3.3.54 in via vr0
02700 divert 8778 ip from 10.10.10.0/24 to any out via vr1
02800 divert 8778 ip from any to 192.168.1.2 in via vr1
02900 deny ip from 172.16.0.0/12 to any out via vr0
03000 deny ip from 0.0.0.0/8 to any out via vr0
03100 deny ip from 169.254.0.0/16 to any out via vr0
03200 deny ip from 224.0.0.0/4 to any out via vr0
03300 deny ip from 240.0.0.0/4 to any out via vr0
03400 deny ip from 172.16.0.0/12 to any out via vr1
03500 deny ip from 0.0.0.0/8 to any out via vr1
03600 deny ip from 169.254.0.0/16 to any out via vr1
03700 deny ip from 224.0.0.0/4 to any out via vr1
03800 deny ip from 240.0.0.0/4 to any out via vr1
03900 allow icmp from any to any icmptypes 0,8,11
04000 allow ip from any to 10.10.10.0/24 in via rl0
04100 allow ip from 10.10.10.0/24 to any out via rl0
04200 allow tcp from any to any established
05700 allow tcp from any to 10.3.3.54 dst-port 25 in via vr0 setup
05800 allow tcp from any to 192.168.1.2 dst-port 25 in via vr1 setup
07400 deny log logamount 100 tcp from any to 10.3.3.54 in via vr0 setup
07500 allow tcp from 10.3.3.54 to any out via vr0 setup
07600 allow tcp from any to 10.3.3.54 in via rl0 setup
07700 deny log logamount 100 tcp from any to 192.168.1.2 in via vr1 setup
07800 allow tcp from 192.168.1.2 to any out via vr1 setup
07900 allow tcp from any to 192.168.1.2 in via rl0 setup
08000 allow tcp from 10.10.10.10
65535 deny ip from any to any
куда дальше копать?
Спасибо.