ipfw и два канала интернет

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
ita
ефрейтор
Сообщения: 57
Зарегистрирован: 2006-08-30 12:35:52
Контактная информация:

ipfw и два канала интернет

Непрочитанное сообщение ita » 2008-12-24 15:34:25

сервер:
локалка, 10.10.10.0/24, rl0 10.10.10.1
1й ISP(основной), 10.3.0.0/16, vr0 10.3.3.54, шлюз 10.3.1.1
2й ISP(резервный), 192.168.1.0/24, vr1 192.168.1.2 , шлюз 192.168.1.1

задача - при проблемах с основным каналом переключиться на резервный. на сервере - www,почта и т.д. доступ этому всему нужен из внешнего мира. так же нужно раздавать интернет в локалке.

Впринципе задача решена. файрвол настроен, при проблемах с первым провайдером - route change default 192.168.1.1 и все продолжает работать, в локалке. но вот получить доступ к ресурсам сервера из внешнего мира через ip второго провайдера - не работает. подключение - ADSL, настроен как роутер, пробовал и пробрасывать порты и определять 192.168.1.2 как DMZ - не помогает. tcpdump на vr1 пакеты видит, но.. не работает.

Код: Выделить всё

[root@router ~]# telnet 213.227.241.250 25
Trying 213.227.241.250...
telnet: connect to address 213.227.241.250: Operation timed out
telnet: Unable to connect to remote host
В файрволе все нужные порты открыты, при подключении через первого ISP все работает отлично.
Модем порты пробрасывает нормально. например 10000 с модема на 192,168,1,2, дальше с пом rinetd на 10.10.10.* - работает замечательно.

запуск natd

Код: Выделить всё

www# cat /usr/local/etc/rc.d/natd.sh
#!/bin/sh
/sbin/natd -a 10.3.3.54 -p 8668 -m -u
/sbin/natd -a 192.168.1.2 -p 8778 -m -u
ipfw list

Код: Выделить всё

00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 deny ip from 10.10.10.0/24 to any in via vr0
00500 deny ip from 10.10.10.0/24 to any in via vr1
00600 deny ip from 10.3.0.0/16 to any in via rl0
00700 deny ip from 192.168.1.0/24 to any in via rl0
00800 deny ip from any to 172.16.0.0/12 in via vr0
00900 deny ip from any to 192.168.0.0/16 in via vr0
01000 deny ip from any to 0.0.0.0/8 in via vr0
01100 deny ip from any to 10.0.0.0/8 in via vr1
01200 deny ip from any to 172.16.0.0/12 in via vr1
01300 deny ip from any to 0.0.0.0/8 in via vr1
01400 deny ip from any to 169.254.0.0/16 in via vr0
01500 deny ip from any to 224.0.0.0/4 in via vr0
01600 deny ip from any to 169.254.0.0/16 in via vr1
01700 deny ip from any to 224.0.0.0/4 in via vr1
01800 deny ip from any to 240.0.0.0/4 in via vr0
01900 deny ip from any to 240.0.0.0/4 in via vr1
02000 deny icmp from any to any frag
02100 deny log logamount 100 icmp from any to 255.255.255.255 in via vr0
02200 deny log logamount 100 icmp from any to 255.255.255.255 out via vr0
02300 deny log logamount 100 icmp from any to 255.255.255.255 in via vr1
02400 deny log logamount 100 icmp from any to 255.255.255.255 out via vr1

02500 divert 8668 ip from 10.10.10.0/24 to any out via vr0
02600 divert 8668 ip from any to 10.3.3.54 in via vr0
02700 divert 8778 ip from 10.10.10.0/24 to any out via vr1
02800 divert 8778 ip from any to 192.168.1.2 in via vr1

02900 deny ip from 172.16.0.0/12 to any out via vr0
03000 deny ip from 0.0.0.0/8 to any out via vr0
03100 deny ip from 169.254.0.0/16 to any out via vr0
03200 deny ip from 224.0.0.0/4 to any out via vr0
03300 deny ip from 240.0.0.0/4 to any out via vr0
03400 deny ip from 172.16.0.0/12 to any out via vr1
03500 deny ip from 0.0.0.0/8 to any out via vr1
03600 deny ip from 169.254.0.0/16 to any out via vr1

03700 deny ip from 224.0.0.0/4 to any out via vr1
03800 deny ip from 240.0.0.0/4 to any out via vr1

03900 allow icmp from any to any icmptypes 0,8,11

04000 allow ip from any to 10.10.10.0/24 in via rl0
04100 allow ip from 10.10.10.0/24 to any out via rl0

04200 allow tcp from any to any established

05700 allow tcp from any to 10.3.3.54 dst-port 25 in via vr0 setup
05800 allow tcp from any to 192.168.1.2 dst-port 25 in via vr1 setup

07400 deny log logamount 100 tcp from any to 10.3.3.54 in via vr0 setup
07500 allow tcp from 10.3.3.54 to any out via vr0 setup
07600 allow tcp from any to 10.3.3.54 in via rl0 setup

07700 deny log logamount 100 tcp from any to 192.168.1.2 in via vr1 setup
07800 allow tcp from 192.168.1.2 to any out via vr1 setup
07900 allow tcp from any to 192.168.1.2 in via rl0 setup

08000 allow tcp from 10.10.10.10
65535 deny ip from any to any
изначально ipfw настраивал по этой статье http://www.lissyara.su/?id=1127. вторая конфигурация.
куда дальше копать?
Спасибо.
Последний раз редактировалось ita 2008-12-24 16:45:30, всего редактировалось 1 раз.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: ipfw и два канала интернет

Непрочитанное сообщение paradox » 2008-12-24 15:42:19

задача - при проблемах с основным каналом переключиться на резервный. на сервере - www,почта и т.д. доступ этому всему нужен из внешнего мира. так же нужно раздавать интернет в локалке.
то что выделено работать небудет если у вас нет BGP
либо уточняйте что вы под этим понимали
Впринципе задача решена. файрвол настроен, при проблемах с первым провайдером - route change default 192.168.1.1 и все продолжает работать, в локалке. но вот получить доступ к ресурсам сервера из внешнего мира через ip второго провайдера - не работает. подключение - ADSL, настроен как роутер, пробовал и пробрасывать порты и определять 192.168.1.2 как DMZ - не помогает. tcpdump на vr1 пакеты видит, но.. не работает
потому что нужно либо в pf делать баланс
либо ipfw divert+fwd

ita
ефрейтор
Сообщения: 57
Зарегистрирован: 2006-08-30 12:35:52
Контактная информация:

Re: ipfw и два канала интернет

Непрочитанное сообщение ita » 2008-12-24 15:56:00

paradox писал(а):на сервере - www,почта и т.д. доступ этому всему нужен из внешнего мира
я это представлял примерно так:
- отвалился первый провайдер, изменил default route, интернет доступен из локалки(решено), ресурсы сервера доступны из внешнего мира по ip второго провайдера.

тоесть в такой конфигурации, если я вас правильно понял, то, что я хочу работать не будет? необходимо divert+fwd? Можете подсказать как примерно должен работать fwd в таком случае?

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: ipfw и два канала интернет

Непрочитанное сообщение paradox » 2008-12-24 16:03:53

я это представлял примерно так:
- отвалился первый провайдер, изменил default route, интернет доступен из локалки(решено), ресурсы сервера доступны из внешнего мира по ip второго провайдера.
в таком случае из мира
будет виден токо тот айпи через который в данный момент переключен дефолт роут


divert+fwd сдесь почти вкаждой теме

ita
ефрейтор
Сообщения: 57
Зарегистрирован: 2006-08-30 12:35:52
Контактная информация:

Re: ipfw и два канала интернет

Непрочитанное сообщение ita » 2008-12-24 16:32:12

paradox писал(а):в таком случае из мира будет виден токо тот айпи через который в данный момент переключен дефолт роут
Это мне и нужно. но в приведенной конфигурации это не работает. ладно, спасибо, буду разбираться дальше.

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: ipfw и два канала интернет

Непрочитанное сообщение paradox » 2008-12-24 16:36:56

что то я непонял

1й ISP(основной), 10.3.0.0/16, vr0 10.3.3.54, шлюз 10.3.1.1
2й ISP(резервный), 192.168.1.0/24, vr1 192.168.1.1 , шлюз 192.168.1.2
Впринципе задача решена. файрвол настроен, при проблемах с первым провайдером - route change default 192.168.1.1
вы уверены что вы в шлюзах не запутались?
netstat -nr
смотрите

ita
ефрейтор
Сообщения: 57
Зарегистрирован: 2006-08-30 12:35:52
Контактная информация:

Re: ipfw и два канала интернет

Непрочитанное сообщение ita » 2008-12-24 16:44:22

запутался, когда сообщение писал. на самом деле
2й ISP(резервный), 192.168.1.0/24, vr1 192.168.1.2 , шлюз 192.168.1.1
в теме исправил

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: ipfw и два канала интернет

Непрочитанное сообщение paradox » 2008-12-24 16:49:10

ну если
на сервере - www,почта и т.д. доступ этому всему нужен из внешнего мира
а не в DMZ
тоесть не редикертом через сервер в DMZ пробрасываеться

то тогда полюбому изменения default должно работать
смотри
netstat -nr
что там не так

либо фаер где то отбивает

ita
ефрейтор
Сообщения: 57
Зарегистрирован: 2006-08-30 12:35:52
Контактная информация:

Re: ipfw и два канала интернет

Непрочитанное сообщение ita » 2008-12-24 17:23:01

так, еще раз, по поводу второго ISP
Есть ADSL модем D-Link DSL-2500U, модем настроен как роутер. внутрений адрес модема, он же шлюз - 192.168.1.1. подключен к сетевой карте, vr1 192.168.1.2
Чтобы получить из внешнего мира доступ к ресурсам сервера 192.168.1.2 на модеме необходимо или в секции Virtual Servers указать при запросе к каким портам обрашаться на 192.168.1.2 или определить адрес 192.168.1.2 как DMZ. помоему так. пробовал оба варианта - не работают. хотя пакеты на интерфейсе vr1 (tspdump -i vr1) я вижу. и могу без проблем пробросить порт дальше в локальную сеть.(разрешил порт в файрволе, в rinetd указал куда ему идти дальше.)

Пойду дальше смотреть что я с ipfw намудрил.

netstat -nr для 2х роутеров

Код: Выделить всё

Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            192.168.1.1        UGS         0   216742    vr1
10.3/16            link#2             UC          0        0    vr0
10.3.1.1           00:15:17:14:f0:57  UHLW        1        0    vr0   1196
10.3.3.10          00:0e:2e:e3:ca:f5  UHLW        1        0    vr0   1199
10.3.3.34          00:e0:4c:c0:8d:2a  UHLW        1        0    vr0    637
10.3.5.13          00:01:29:74:6f:72  UHLW        1        0    vr0   1200
10.3.55.17         00:e0:4c:c0:8d:dd  UHLW        1        0    vr0   1200
10.10.10/24        link#1             UC          0        0    rl0
10.10.10.10        00:1d:60:18:4b:6c  UHLW        1     6839    rl0   1045
10.10.10.20        00:1e:8c:a6:5c:8f  UHLW        1     5334    rl0   1000
10.10.10.30        00:13:8f:14:d4:65  UHLW        1    54212    rl0   1043
10.10.10.31        00:02:2a:e1:f8:ba  UHLW        1    17872    rl0   1199
10.10.10.38        00:11:5b:6e:34:5f  UHLW        1      164    rl0    539
10.10.10.39        00:30:4f:3b:dc:cf  UHLW        1    34332    rl0    280
10.10.10.100       00:13:d4:5e:81:80  UHLW        1        4    rl0    764
10.10.10.101       00:13:8f:14:ea:3c  UHLW        1      727    rl0   1124
10.10.10.121       00:13:8f:14:e9:8b  UHLW        1      883    rl0   1123
10.10.10.133       00:13:8f:37:de:92  UHLW        1     3515    rl0   1084
10.10.10.134       00:13:8f:38:ed:88  UHLW        1    21335    rl0   1096
10.10.10.135       00:15:58:58:cb:79  UHLW        1    10605    rl0    870
10.10.10.136       00:14:2a:a0:95:44  UHLW        1     3741    rl0   1179
10.10.10.139       00:13:8f:14:d6:a7  UHLW        1     7465    rl0   1057
10.10.10.145       00:1d:60:7c:b9:6f  UHLW        1       33    rl0   1010
10.10.10.146       00:1d:60:7c:b9:7c  UHLW        1    10263    rl0   1126
10.10.10.200       00:15:17:44:17:c1  UHLW        1       76    rl0   1193
127.0.0.1          127.0.0.1          UH          0     9798    lo0
192.168.1          link#3             UC          0        0    vr1
192.168.1.1        00:1e:58:b2:2a:6c  UHLW        2     3204    vr1   1170
192.168.1.2        00:16:17:7b:60:4e  UHLW        1    28112    lo0

Internet6:
Destination                       Gateway                       Flags      Netif Expire
::1                               ::1                           UH          lo0
fe80::%rl0/64                     link#1                        UC          rl0
fe80::230:4fff:fe3e:e439%rl0      00:30:4f:3e:e4:39             UHL         lo0
fe80::%vr0/64                     link#2                        UC          vr0
fe80::215:e9ff:fe3d:6df8%vr0      00:15:e9:3d:6d:f8             UHL         lo0
fe80::%vr1/64                     link#3                        UC          vr1
fe80::216:17ff:fe7b:604e%vr1      00:16:17:7b:60:4e             UHL         lo0
fe80::%lo0/64                     fe80::1%lo0                   U           lo0
fe80::1%lo0                       link#5                        UHL         lo0
ff01:1::/32                       link#1                        UC          rl0
ff01:2::/32                       link#2                        UC          vr0
ff01:3::/32                       link#3                        UC          vr1
ff01:5::/32                       ::1                           UC          lo0
ff02::%rl0/32                     link#1                        UC          rl0
ff02::%vr0/32                     link#2                        UC          vr0
ff02::%vr1/32                     link#3                        UC          vr1
ff02::%lo0/32                     ::1                           UC          lo0
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            10.3.1.1           UGS         0   216884    vr0
10.3/16            link#2             UC          0        0    vr0
10.3.1.1           00:15:17:14:f0:57  UHLW        2        0    vr0   1197
10.3.3.10          00:0e:2e:e3:ca:f5  UHLW        1        0    vr0   1200
10.3.3.34          00:e0:4c:c0:8d:2a  UHLW        1        0    vr0    592
10.3.5.13          00:01:29:74:6f:72  UHLW        1        0    vr0   1200
10.3.55.17         00:e0:4c:c0:8d:dd  UHLW        1        0    vr0   1174
10.10.10/24        link#1             UC          0        0    rl0
10.10.10.10        00:1d:60:18:4b:6c  UHLW        1     6890    rl0   1000
10.10.10.20        00:1e:8c:a6:5c:8f  UHLW        1     5334    rl0    955
10.10.10.30        00:13:8f:14:d4:65  UHLW        1    54451    rl0    998
10.10.10.31        00:02:2a:e1:f8:ba  UHLW        1    17877    rl0   1154
10.10.10.38        00:11:5b:6e:34:5f  UHLW        1      164    rl0    494
10.10.10.39        00:30:4f:3b:dc:cf  UHLW        1    34371    rl0    235
10.10.10.100       00:13:d4:5e:81:80  UHLW        1        4    rl0    719
10.10.10.101       00:13:8f:14:ea:3c  UHLW        1      727    rl0   1079
10.10.10.121       00:13:8f:14:e9:8b  UHLW        1      883    rl0   1078
10.10.10.133       00:13:8f:37:de:92  UHLW        1     3515    rl0   1176
10.10.10.134       00:13:8f:38:ed:88  UHLW        1    21335    rl0   1159
10.10.10.135       00:15:58:58:cb:79  UHLW        1    10620    rl0   1185
10.10.10.136       00:14:2a:a0:95:44  UHLW        1     3741    rl0   1134
10.10.10.139       00:13:8f:14:d6:a7  UHLW        1     7515    rl0   1012
10.10.10.145       00:1d:60:7c:b9:6f  UHLW        1       33    rl0    965
10.10.10.146       00:1d:60:7c:b9:7c  UHLW        1    10319    rl0   1081
10.10.10.200       00:15:17:44:17:c1  UHLW        1       76    rl0   1167
127.0.0.1          127.0.0.1          UH          0     9806    lo0
192.168.1          link#3             UC          0        0    vr1
192.168.1.1        00:1e:58:b2:2a:6c  UHLW        1     3204    vr1   1184
192.168.1.2        00:16:17:7b:60:4e  UHLW        1    28112    lo0

Internet6:
Destination                       Gateway                       Flags      Netif Expire
::1                               ::1                           UH          lo0
fe80::%rl0/64                     link#1                        UC          rl0
fe80::230:4fff:fe3e:e439%rl0      00:30:4f:3e:e4:39             UHL         lo0
fe80::%vr0/64                     link#2                        UC          vr0
fe80::215:e9ff:fe3d:6df8%vr0      00:15:e9:3d:6d:f8             UHL         lo0
fe80::%vr1/64                     link#3                        UC          vr1
fe80::216:17ff:fe7b:604e%vr1      00:16:17:7b:60:4e             UHL         lo0
fe80::%lo0/64                     fe80::1%lo0                   U           lo0
fe80::1%lo0                       link#5                        UHL         lo0
ff01:1::/32                       link#1                        UC          rl0
ff01:2::/32                       link#2                        UC          vr0
ff01:3::/32                       link#3                        UC          vr1
ff01:5::/32                       ::1                           UC          lo0
ff02::%rl0/32                     link#1                        UC          rl0
ff02::%vr0/32                     link#2                        UC          vr0
ff02::%vr1/32                     link#3                        UC          vr1
ff02::%lo0/32                     ::1                           UC          lo0