Помогите разобраться с NAT и PBR

[kharkov_max]

точно так же


а что это за tablearg ip ?

00300 0 0 fwd tablearg ip from 192.168.110.1 to 192.168.10.11
00400 0 0 fwd tablearg ip from 192.168.110.2 to 192.168.10.12

чет я не понял
что фаервол так сильно извратили ?
какая версия bsd?

${ipfw} add 300 fwd ${comp1} from ${em1} to any
${ipfw} add 400 fwd ${comp2} from ${em2} to any

поменяй в фаерволе
перегрузи комп
и покажи еще раз ipfw show

00100 5 240 divert 8668 ip from 192.168.10.11 to any via 192.168.110.1
00200 0 0 divert 8778 ip from 192.168.10.12 to any via 192.168.110.2
00300 5 240 fwd 192.168.10.11 ip from 192.168.110.1 to any
00400 0 0 fwd 192.168.10.12 ip from 192.168.110.2 to any
00500 0 0 divert 8668 ip from any to 192.168.110.1
00600 0 0 divert 8778 ip from any to 192.168.110.2
65535 655 53730 allow ip from any to any

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[kharkov_max]

Если так ставлю, то вообще comp1 не ходит никуда. И роутер внешнюю сеть не пингует.

Freebsd 7.0

[schizoid]

Код: Выделить всё

divert 8667 ip from 192.168.10.11 to any
divert 8668 ip from 192.168.10.12 to any
fwd $gw1 ip from 192.168.110.1 to any
fwd $gw2 ip from 192.168.110.2 to any
divert 8667 ip from any to 192.168.10.11
divert 8668 ip from any to 192.168.10.12

где $gw1 - шлюз для em1
$gw2 - шлюз для em2

Код: Выделить всё

/sbin/natd -n em1 -p 8668
/sbin/natd -n em2 -p 8667

а так пробовал?

[kharkov_max]

Шлюз во внешней сети для em1 и em2 один, т.к. em1 и em2 смотрят в одну сеть.

[schizoid]

странно как-то оно у вас все построено...
ну попробуй один и тот же указать...хотя не ручаюсь,что будет работать

[kharkov_max]

странно как-то оно у вас все построено...
ну попробуй один и тот же указать...хотя не ручаюсь,что будет работать

Когда ставлю так:

/sbin/natd -n em1 -p 8668
/sbin/natd -n em2 -p 8667

вообще ничего не бегает.

Возможно и странно, но я хочу 2 разных компа через freebsd вывести в одну сеть через разные сетевые карты.

[schizoid]

странно то, что у тя 2 интерфейса имеют ИПы с одной сети
вот это странно

Когда ставлю так:

/sbin/natd -n em1 -p 8668
/sbin/natd -n em2 -p 8667

вообще ничего не бегает.

а в фаере что ?

[kharkov_max]

Я его в начале выкладывал.
Больше нет ничего.

[schizoid]

ipfw show
покаж все ж таки с такой конфигурацией

[paradox]

00100 5 240 divert 8668 ip from 192.168.10.11 to any via 192.168.110.1
00200 0 0 divert 8778 ip from 192.168.10.12 to any via 192.168.110.2
00300 5 240 fwd 192.168.10.11 ip from 192.168.110.1 to any
00400 0 0 fwd 192.168.10.12 ip from 192.168.110.2 to any
00500 0 0 divert 8668 ip from any to 192.168.110.1
00600 0 0 divert 8778 ip from any to 192.168.110.2
65535 655 53730 allow ip from any to any

по правилам все так и должно быть
ps
немешало бы в начале лупбек разрешить
поскольку через него тоже много чего ходит

проверь дефоулт роут который должен быть обязательно
неважно через какой из двух внешних интерфесов

я еще подумаю
там via
нужно еще возможно добавить

делай ping с каждого из компов
и смотри на ipfw show
каждый комп должен юзать токо свои правила
у тебя там сечас тишина

[paradox]

все вроде верно
делаем так
запускаешь на тех двух компах ping чего нибудь за пределами твоей сети - инет итд
спустя пару минут
даешь сюда

ipfw show
и
ps ax| grep natd > resultat

[kharkov_max]

Сори за мой молчек.
Делал ремонт, сейчас уже нет сил.
Завтра попробую и отпишусь.

[schizoid]

Код: Выделить всё

divert 8667 ip from 192.168.10.11 to any
divert 8668 ip from 192.168.10.12 to any
fwd $gw1 ip from 192.168.110.1 to any
fwd $gw2 ip from 192.168.110.2 to any
divert 8667 ip from any to 192.168.10.11
divert 8668 ip from any to 192.168.10.12

где $gw1 - шлюз для em1
$gw2 - шлюз для em2

Код: Выделить всё

/sbin/natd -n em1 -p 8668
/sbin/natd -n em2 -p 8667

а так пробовал?

00100 5 240 divert 8668 ip from 192.168.10.11 to any via 192.168.110.1
00200 0 0 divert 8778 ip from 192.168.10.12 to any via 192.168.110.2
00300 5 240 fwd 192.168.10.11 ip from 192.168.110.1 to any
00400 0 0 fwd 192.168.10.12 ip from 192.168.110.2 to any
00500 0 0 divert 8668 ip from any to 192.168.110.1
00600 0 0 divert 8778 ip from any to 192.168.110.2
65535 655 53730 allow ip from any to any

неужто одинаково?
или я уже ослеп?
обратите внимание на правила с форвардом!

[paradox]

мля не досмотрел))))

${ipfw} add 300 fwd ${em1} from ${comp1} to any
${ipfw} add 400 fwd ${em2} from ${comp2}to any

вот так должно быть
поменяй правила
перегрузи сервак
и проверяй

[paradox]

00100 5 240 divert 8668 ip from 192.168.10.11 to any via 192.168.110.1
00200 0 0 divert 8778 ip from 192.168.10.12 to any via 192.168.110.2
00300 5 240 fwd 192.168.10.11 ip from 192.168.110.1 to any
00400 0 0 fwd 192.168.10.12 ip from 192.168.110.2 to any
00500 0 0 divert 8668 ip from any to 192.168.110.1
00600 0 0 divert 8778 ip from any to 192.168.110.2
65535 655 53730 allow ip from any to any

аналогичное замечание как и в соседнем топике

сначала ловим пришедшие пакеты к нам и заганяем в диверт
потом форвард
потом те что от нас дивертим

тоесть
еще в добавок
и поменять местами

100 с 500
200 c 600
и fwd поправить как я сказал выше

[schizoid]

ну на счет менять не вижу особого смысла, все равно ж попадет под то правило, которое соответствует пакету...

[paradox]

пусть пробует
потом посмотрим
опередленная заморочка с дивертами есть

[kharkov_max]

Утро доброе.
Проанализировал всю информацию
получилось вот так:

# rc.conf:

gateway_enable="YES"
hostname="router.sr.vmware"

ifconfig_em0="inet 192.168.10.2 netmask 255.255.255.0"

ifconfig_em1="inet 192.168.100.1 netmask 255.255.240.0"
ifconfig em1 down
ifconfig em1 ether 04:4B:89:71:89:44
ifconfig em1 up

ifconfig_em2="inet 192.168.100.2 netmask 255.255.240.0"
ifconfig em2 down
ifconfig em2 ether 00:1A:48:74:4D:45
ifconfig em2 up

defaultrouter="192.168.100.250"

firewall_enable="YES"
firewall_type="close"
firewall_quiet="Yes"
firewall_script="/etc/firewall.conf"

natd_enable="YES"
# natd_interface="em1"
# natd_interface="em2"

inetd_enable="YES"

keymap="ru.koi8-r"
moused_enable="YES"

saver="daemon"
blanktime="1000"
scrnmap="YES"
--------------------------------------------------

# firewall.conf:

ipfw="/sbin/ipfw -q"

comp1="192.168.10.11"
comp2="192.168.10.12"

em1="192.168.100.1"
em2="192.168.100.2"

${ipfw} -f flush

natd -a ${em1} -p 8668
natd -a ${em2} -p 8778

${ipfw} add 100 divert 8668 ip from any to ${em1}
${ipfw} add 200 divert 8778 ip from any to ${em2}

${ipfw} add 300 fwd ${em1} ip from ${comp1} to any
${ipfw} add 400 fwd ${em2} ip from ${comp2} to any

${ipfw} add 500 divert 8668 ip from ${comp1} to any via ${em1}
${ipfw} add 600 divert 8778 ip from ${comp2} to any via ${em2}

${ipfw} add 65534 allow ip any to any
---------------------------------------------

ipfw show:

00100 7 480 divert 8668 ip from any to 192.168.100.1
00200 0 0 divert 8778 ip from any to 192.168.100.2
00300 364 20916 fwd 192.168.100.1 ip from 192.168.10.11 to any
00400 0 0 fwd 192.168.100.2 ip from 192.168.10.12 to any
00500 0 0 divert 8668 ip from 192.168.10.11 to any via 192.168.100.1
00600 0 0 divert 8778 ip from 192.168.10.12 to any via 192.168.100.2
65535 1390 120175 allow ip from any to any
---------------------------------------------------

ps ax| grep natd > resultat:

557 ?? Ss 0:00.00 natd -a 192.168.100.1 -p 8668
559 ?? Is 0:00.00 natd -a 192.168.100.2 -p 8778
846 v0 DL+ 0:00.00 grep natd

Результат:
С роутера пингуются обе сети, comp1 не пингует внешнюю сеть ((.

Да и еще т.к. две сетевые смотрят на одну сеть, у них один роутер по умолчанию.
Freebsd при загрузке и работет выдает такое сообщение "arp: 192.168.100.1 is on em1 but got reply from Mac adress on em2"
Как это дело можно выключить или исправить ?

[schizoid]

батюшки...он еще и мак меняет....

ifconfig em1 ether 04:4B:89:71:89:44
...
ifconfig em2 ether 00:1A:48:74:4D:45

Утро доброе.
Проанализировал всю информацию
получилось вот так:

слушай. мне уже надоело.
как можно ПРОАНАЛИЗИРОВАТЬ всю информацию и не увидеть главного?

правила 300 и 400, форвад делает НА твой шлюз для сервака (т.е. я так понял defaultrouter="192.168.100.250") ОТ самого сервака, а не от клиентов!
еще раз

Код: Выделить всё

fwd $gw1 ip from 192.168.110.1 to any
fwd $gw2 ip from 192.168.110.2 to any

[kharkov_max]

Mac меняю ибо он нужен во внешней сети, собственно из за него вся заморочка и пошла.

а чем не годится вот так:
${ipfw} add 300 fwd any ip from ${em1} to ${comp1}
${ipfw} add 400 fwd any ip from ${em2} to ${comp2}

Так правила стояли с самого начала.

[schizoid]

ибо ересь

сделайте хотя бы 1 раз так как советуют.
и покажите результат

[kharkov_max]

Сделал так:
${ipfw} add 100 divert 8668 ip from any to ${em1}
${ipfw} add 200 divert 8778 ip from any to ${em2}

${ipfw} add 300 fwd ${inetrouter} ip from ${em1} to any
${ipfw} add 400 fwd ${inetrouter} ip from ${em2} to any

${ipfw} add 500 divert 8668 ip from ${comp1} to any via ${em1}
${ipfw} add 600 divert 8778 ip from ${comp2} to any via ${em2}

Результат:
Ipfw show
00100 101963 6117780 divert 8668 ip from any to 192.168.100.1
00200 0 0 divert 8778 ip from any to 192.168.100.2
00300 523 29288 fwd 192.168.100.250 ip from 192.168.100.1 to any
00400 0 0 fwd 192.168.100.250 ip from 192.168.100.2 to any
00500 410 24600 divert 8668 ip from 192.168.10.11 to any via 192.168.100.1
00600 0 0 divert 8778 ip from 192.168.10.12 to any via 192.168.100.2
65535 162466 9825855 allow ip from any to any

ps ax| grep natd
506 ?? Ss 0:02.86 natd -a 192.168.100.1 -p 8668
508 ?? Is 0:00.00 natd -a 192.168.100.2 -p 8778
783 v0 S+ 0:00.01 grep natd

Для интерфейсов em1 и em2 gateway один 192.168.100.250 т.к. они смотрят в одну сеть.
Comp1 ходит нормально, comp2 ничего не пингует и не ходит соответственно.
Comp2 не пингует em1 и em2 но пингует em0, т.е divert на нем не отрабатывает, похоже.

[paradox]

достаточно не тривиальная задача
fwd не получиться ввиду того что гетевей у них один и тот же
надо будет подумать....

>kharkov_max
пока что проверь такую штуку
поставь правильные мак адреса на внешние сетевки
и поочередно поменяй default route через какждую из сетевок
и сделай пинги
проверим пускает ли провайдер тебя через каждыую из сетевок

а дальше посмотрим...
там либо хитрый диверт
либо ipfilter
Либо вообще pf

[kharkov_max]

В данный момент создал аналогичную ситуацию на работе под vmware, результат тот же.
В рабочей сети привязки к mac нету, но если выключаю em1, и коментирую divert по em1, то нормально бегает comp2 через em2.

А провайдер пускает 100%, по одному компу через разные сетевые пускал, все работает.

[paradox]

00100 101963 6117780 divert 8668 ip from any to 192.168.100.1
00200 0 0 divert 8778 ip from any to 192.168.100.2
00300 523 29288 fwd 192.168.100.250 ip from 192.168.100.1 to any
00400 0 0 fwd 192.168.100.250 ip from 192.168.100.2 to any
00500 410 24600 divert 8668 ip from 192.168.10.11 to any via 192.168.100.1
00600 0 0 divert 8778 ip from 192.168.10.12 to any

via 192.168.100.2

65535 162466 9825855 allow ip from any to any

убери и покажешь что там ipfw show делает