ipfw и пренаправление

[Валентин Черкашин]

есть две локальные сети и один провайдер. Сети соеденены тунелем, трафик между ними бесплатный, у одной сети есть безлимитный трафик а у другой помегабайтный.
Вопрос в следующем, надо перенаправить весь сетевой трафик платной сети в безлимитку. на безлимитке стоит сквид. Адреса такие:
192.168.1.110 безлимитка и freeBSD сквид
192.168.3.111 просто роутер и тунель
Эти сети прекрасно видят друг друга, можно в сети 192.168.3.х прописать прокси 192.168.1.110 и они прекрасно работают, но нужно завернуть почту и ftp, ну еще можно поставить только на прием а отсылать можно и напрямую через свои шлюзы
я только начал изучать freeBSD

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

роутинг настрой...

[Валентин Черкашин]

честно говоря непонял

[Alex Keda]

маршруты по которым пакеты между сетями ходят.
т.е. дефолтовым маршрутом шлюз в другую сеть

[Валентин Черкашин]

а в фаерволе можно завернуть например одну машину

fwd ip from 192.1698.3.44:25 to 192.168.1.110:25
fwd ip from 192.1698.3.44:80 to 192.168.1.110:80
fwd ip from 192.1698.3.44:21 to 192.168.1.110:21

[dikens3]

Завернуть то можно, только работать не будет.
К IP-Адресу 192.168.1.110 придёт пакет с адресом назначения 192.168.3.44 (А должен быть 192.168.1.110), и соответственнно он его отбросит.

[Гость]

а где тогда почтитать как это сделать?

[npu3pak]

Код: Выделить всё

fwd ip from 192.1698.3.44:25 to 192.168.1.110:25 
fwd ip from 192.1698.3.44:80 to 192.168.1.110:80 
fwd ip from 192.1698.3.44:21 to 192.168.1.110:21

Завернуть то можно, только работать не будет.
К IP-Адресу 192.168.1.110 придёт пакет с адресом назначения 192.168.3.44 (А должен быть 192.168.1.110), и соответственнно он его отбросит.

если ip 192.168.1.110 сконфигурирован как прокси или как NAT то ему вобще-то должно быть до звезды и он ничего не отбросит - пакет придет с адресом назначения хоста в инете или где то еще и 1.110 должен сам определить куда его посылать. правила должны выглядеть где то так

Код: Выделить всё

10 fwd 192.168.1.110 tcp from 192.168.3.44 to any dst-port 25

это форвардит всю отправляемую почту c хоста 192.168.3.44 на 192.168.1.110

хотя по логике вещей

Код: Выделить всё

route add default 192.168.1.110

[Валентин Черкашин]

нифига не получается, конечно я хочу принять почту...

Например делаю:

Код: Выделить всё

ipfw add 3 fwd 192.168.1.110 tcp from 192.168.4.21 to any dst-port 110

то получается

Код: Выделить всё

BSDserver# tcpdump -npi fxp0 ip host 192.168.4.21 and not port 3389
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on fxp0, link-type EN10MB (Ethernet), capture size 96 bytes
19:08:11.368043 IP 192.168.4.21.4339 > 81.3.150.69.110: S 601478977:601478977(0) win 64512 <mss 1460,nop,nop,sackOK>
19:08:14.337686 IP 192.168.4.21.4339 > 81.3.150.69.110: S 601478977:601478977(0) win 64512 <mss 1460,nop,nop,sackOK>
19:08:20.372643 IP 192.168.4.21.4339 > 81.3.150.69.110: S 601478977:601478977(0) win 64512 <mss 1460,nop,nop,sackOK>

и че дальше делать ума не приложу


а когда это правило убираю то:

Код: Выделить всё

BSDserver# tcpdump -npi fxp0 ip host 192.168.4.21 and not port 3389
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on fxp0, link-type EN10MB (Ethernet), capture size 96 bytes
19:12:42.451707 IP 192.168.4.21.4342 > 81.3.150.69.110: S 3618424534:3618424534(0) win 64512 <mss 1460,nop,nop,sackOK>
19:12:42.606953 IP 81.3.150.69.110 > 192.168.4.21.4342: S 8777779:8777779(0) ack 3618424535 win 65535 <mss 1440,nop,nop,sackOK>
19:12:42.607086 IP 192.168.4.21.4342 > 81.3.150.69.110: . ack 1 win 64800
19:12:42.760273 IP 81.3.150.69.110 > 192.168.4.21.4342: P 1:24(23) ack 1 win 65535
19:12:42.760818 IP 192.168.4.21.4342 > 81.3.150.69.110: P 1:23(22) ack 24 win 64777
19:12:43.011344 IP 81.3.150.69.110 > 192.168.4.21.4342: . ack 23 win 65535
19:12:43.112379 IP 81.3.150.69.110 > 192.168.4.21.4342: P 24:29(5) ack 23 win 65535
19:12:43.112589 IP 192.168.4.21.4342 > 81.3.150.69.110: P 23:36(13) ack 29 win 64772
19:12:43.269380 IP 81.3.150.69.110 > 192.168.4.21.4342: P 29:45(16) ack 36 win 65535

[dikens3]

Если склероз не изменяет, то после fwd необходимо указывать:
1. IP-Адрес шлюза
2. Локальный IP-Адрес (127.0.0.1 и т.п.)

Третьего не дано.

[_kirill_]

есть две локальные сети и один провайдер. Сети соеденены тунелем, трафик между ними бесплатный, у одной сети есть безлимитный трафик а у другой помегабайтный.
Вопрос в следующем, надо перенаправить весь сетевой трафик платной сети в безлимитку. на безлимитке стоит сквид. Адреса такие:
192.168.1.110 безлимитка и freeBSD сквид
192.168.3.111 просто роутер и тунель
Эти сети прекрасно видят друг друга, можно в сети 192.168.3.х прописать прокси 192.168.1.110 и они прекрасно работают, но нужно завернуть почту и ftp, ну еще можно поставить только на прием а отсылать можно и напрямую через свои шлюзы
я только начал изучать freeBSD

на 192.168.3.111

Код: Выделить всё

#route add IP_TVOEGO_SERVA IP_GEYTA_PROVA
#route add default 192.168.1.110