Помогите разобраться с NAT и PBR

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
kharkov_max
капитан
Сообщения: 1810
Зарегистрирован: 2008-10-03 14:56:40

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение kharkov_max » 2008-10-08 13:10:05

Я закоментировал # ${ipfw} add 65534 allow ip any to any
и получилось вот так:
00100 325051 14957059 divert 8668 ip from any to 192.168.100.1
00200 10 440 divert 8778 ip from any to 192.168.100.2
00300 7910 356103 fwd 192.168.100.250 ip from 192.168.100.1 to any
00400 10 560 fwd 192.168.100.250 ip from 192.168.100.2 to any
00500 370 22200 divert 8668 ip from 192.168.10.11 to any via 192.168.100.1
00600 0 0 divert 8778 ip from 192.168.10.12 to any via 192.168.100.2
65535 306517 15303001 allow ip from any to any

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение schizoid » 2008-10-08 14:11:08

и что? не работает?
по-моему правила 100 и 200 нельзя делать from any, думаю нуно указать ИП, а то до 2-го правила и не дойдет даже
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение schizoid » 2008-10-08 14:13:40

и еще. почему вы так упорно не хотите сделать так как я вам написал?
у меня эта схема работает (правда шлюзы разные)
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
kharkov_max
капитан
Сообщения: 1810
Зарегистрирован: 2008-10-03 14:56:40

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение kharkov_max » 2008-10-08 14:26:23

schizoid писал(а):и еще. почему вы так упорно не хотите сделать так как я вам написал?
у меня эта схема работает (правда шлюзы разные)
Извините, может я чего то не понимаю т.к. новичек во freebsd, а как вы советуете?

Я понимаю что так: fwd (адрес шлюза провайдера) ip from (интерфейс смотрящий на провайдера) to (any или конкретный комп во внутренней сети)
т.е. вот так:
${ipfw} add 300 fwd ${inetrouter} ip from ${em1} to any
${ipfw} add 400 fwd ${inetrouter} ip from ${em2} to any

Я понимаю что у Вас такие же правила только inetrouter разный т.к. разные сети или провайдеры.
Если я ошибаюсь напишите пожалуйста как будет правильно.

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение paradox » 2008-10-08 16:19:36

небудет оно работать
потому что fwd в один и тот же шлюз
а через другой интерфейс оно даже не выйдет
нужно думать над другими реализациями

Аватара пользователя
kharkov_max
капитан
Сообщения: 1810
Зарегистрирован: 2008-10-03 14:56:40

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение kharkov_max » 2008-10-08 16:24:26

paradox писал(а):небудет оно работать
потому что fwd в один и тот же шлюз
а через другой интерфейс оно даже не выйдет
нужно думать над другими реализациями
А Вы сможете мне помочь добить это дело ?

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение paradox » 2008-10-08 16:27:41

думать надо а не расчитывать на помощь когото)
я конечно подумаю
но у вас для експериментов больше возможностей

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение paradox » 2008-10-08 16:44:21

пробуй на PF сделать
http://www.openbsd.org/faq/pf/pools.html

Аватара пользователя
kharkov_max
капитан
Сообщения: 1810
Зарегистрирован: 2008-10-03 14:56:40

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение kharkov_max » 2008-10-08 16:49:52

Да и я тоже не буду сидеть руки сложа. Просто уже весь инет перерыл, а похожей ситуации ни у кого нет, хоть пример какой нить ....
А если поднять еще одну freebsd с гейтом скажем 192,168,200,1, на нее натравить comp2 а уже со 2 й freebsd выткнуть на провайдера.

Дело в том что freebsd поднят на vmware. Т.е. я под 2003 сервером делаю vmware-router, который по задумке должен был разрулить всю маршрутизацию по сети провайдера через em1 и em2 и интернета через ADSL модем. Комп под сервер один.

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение paradox » 2008-10-08 16:55:24

делай на PF
ссылку я выше дал
там пример есть
как выпускать определенный комп через определенный интерфейс
попробуй
скажешь
получилось или нет
просто с такой ситуацией когда источник один и тот же шлюз - может получиться что вообще решений нет
либо нужно сидеть и разбираться
для чего у меня нет времени

Аватара пользователя
kharkov_max
капитан
Сообщения: 1810
Зарегистрирован: 2008-10-03 14:56:40

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение kharkov_max » 2008-10-20 16:36:02

День добрый.
Хочу продолжить данную тему.
Пытаюсь реализовать данную задачу на PF.
Перекомпилил я дро для PF, включил PF в rc.conf.

Мой файл правил PF.

int_if="em0" # 192.168.10.1
ext_if1="em1" # 192.168.100.1
ext_if2="em2" # 192.168.100.2
ext_network="192.168.110.0/24"

comp1="192.168.10.11"
comp2="192.168.10.12"

# ICMP Unreacheble
set block-policy return

# Нормализация входящего трафика
scrub in all

# Натим пакеты из локалки
nat on $ext_if1 from $comp1 to $ext_network -> ($ext_if1)
nat on $ext_if1 from $comp2 to $ext_network -> ($ext_if2)

Вроде с обоих компов сеть 192.168.110.0 пингуется, но у меня есть подозрение что оба внутренних компа ходят через ext_if1. Если выключаю сетевую ext_if1, то пинговать внешнюю сеть перестают оба компа. Если выключаю ext_if2, то comp1 пингует нормально, а comp2 не пингует сеть. Т.е. вроде как заработало....
Подскажите как можно проверить мои догадки средствами freebsd ?
Да и еще Freebsd постоянно ругается на то что для 2х интерфейсов одит gateway по умолчанию и пишет "router kernel: arp 192.168.110.250 is on em1 but got reply from ..... on em2", как мне отключить это сообщение или сделать так что его не выдавало?

Заранее большое спасибо...

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение paradox » 2008-10-20 21:17:10

одного nat мало
ты статью полностью прочитал?
где route-to reply-to
?итд
я тебе про лоад баланс говорил

Аватара пользователя
kharkov_max
капитан
Сообщения: 1810
Зарегистрирован: 2008-10-03 14:56:40

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение kharkov_max » 2008-12-18 11:37:46

День добрый.

Наконец то появилось время продолжить эту тему.
Перечитав статью делаю вот так:
## Описываем переменные, содержащие имена интерфейсов

int_if="em0"
ext_if1="em1"
ext_if2="em2"
ext_network="192.168.133.0/24"
gateway="192.168.133.1"

comp1="192.168.10.11"
comp2="192.168.10.12"

# ICMP Unreacheble
set block-policy return
set skip on lo0
set skip on $int_if

# Нормализация входящего трафика
scrub in all

# Натим пакеты из локалки

nat on $ext_if1 from $comp1 to $ext_network -> ($ext_if1)
nat on $ext_if1 from $comp2 to $ext_network -> ($ext_if2)
nat on $ext_if2 from $comp2 to $ext_network -> ($ext_if2)

# default deny
# block all

pass out on $ext_if1 route-to ($ext_if1 $gateway) from $comp1 to any keep state
pass in on $ext_if1 from any to any
pass out on $ext_if1 route-to ($ext_if2 $gateway) from $comp2 to any keep state
pass in on $ext_if2 from any to any

Как я понимаю все пакеты по умолчанию во внешнюю сеть будут валится на интерфейс ext_if1 (т.к. default gateway один для 2х внешних интерфейсов), т.е. на первый интерфейс для внешней сети. Для того что бы реализовать мою задачу и выпускать comp2 через ext_if2 необходимо отлавливать пакеты на ext_if1 и route-to перекидывать их на ext_if2. Собственно это я показал выше, возможно это криво или не верно.

В данный момент оба компа нормально пингуют внешнюю сеть, но если я физически вынимаю кабель из ext_if1, то пинги пропадают на 2х ПК. Это нормально ?
И еще вопрос, как проверить что пакеты идут верно ? Ибо есть подозрение что с comp2 они выходят через ext_if1, а возвращаются через ext_if2.

Аватара пользователя
kharkov_max
капитан
Сообщения: 1810
Зарегистрирован: 2008-10-03 14:56:40

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение kharkov_max » 2008-12-19 14:55:31

Как проверить, разобрался.
Tcpdump говорит что пакеты идут на один интерфейс ....

Подскажите мне поможет reply-to или route-to? Или можно в этом направлении не копать ?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35267
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение Alex Keda » 2008-12-19 22:39:39

прочтите уже текст на крсном фоне вверху страницы....
Убей их всех! Бог потом рассортирует...

Аватара пользователя
kharkov_max
капитан
Сообщения: 1810
Зарегистрирован: 2008-10-03 14:56:40

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение kharkov_max » 2008-12-20 17:13:20

lissyara писал(а):прочтите уже текст на крсном фоне вверху страницы....
А что читать ?

Все что я хочу сделать описано выше.
Могу повторится.

В сервере 3 сетевые платы.
1. смотрит в локалку
2-3 смотрит на внешнюю сеть с одним шлюзом.

Из локалки во внешнюю сеть необходимо вывести 2 компа через разные сетевые интерфейсы. (2-3). Сделать PBR. Вся проблема в том что у интерфейса 2 и 3 один шлюз по умолчанию. Пытаюсь сделать вот так:

## Описываем переменные, содержащие имена интерфейсов

int_if="em0" # 192.168.10.1
ext_if1="em1" # 192.168.133.100
ext_if2="em2" # 192.168.133.101
ext_network="192.168.133.0/24"
gateway="192.168.133.1"

comp1="192.168.10.11"
comp2="192.168.10.12"

# ICMP Unreacheble
set block-policy return
set skip on lo0
set skip on $int_if

# Нормализация входящего трафика
scrub in all

# Натим пакеты из локалки

nat on $ext_if1 from $comp1 to $ext_network -> ($ext_if1)
nat on $ext_if1 from $comp2 to $ext_network -> ($ext_if2) # Ставлю на всякий случай если пакеты от comp2 пойдут на ext_if1. Возможно это и не верно.
nat on $ext_if2 from $comp2 to $ext_network -> ($ext_if2)

# default deny
block all

pass out on $ext_if1 route-to ($ext_if1 $gateway) from $comp1 to any keep state
pass in on $ext_if1 from any to any
pass out on $ext_if1 route-to ($ext_if2 $gateway) from $comp2 to any keep state
pass in on $ext_if2 from any to any

Но пакеты все равно идут через один интерфейс. Подскажите как настроить правильно....

В правиле для исходящего трафика от comp1 (pass out on $ext_if1 route-to ($ext_if1 $gateway) from $comp1 to any keep state) я использую from $comp1. Понимает ли PF что я от него хочу или route-to работает только с локальными интарфейсами ? Т.е. перенаправлять пакеты можно от любого адреса во внутренней сети (в моем случае это comp1) или только с интерфейса сервера смотрящего во внутреннюю сеть?
Если route-to не работает с адресом из локальной сети, как правильно отловить пакет пометить его и послать в нужный мне интерфейс внешней сети ?

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение paradox » 2008-12-20 17:44:14

Правила форума
Убедительная просьба юзать теги

Код: Выделить всё

 при оформлении листингов. 
Сообщения не оформленные должным образом имеют все шансы быть незамеченными[/b][/color][/quote]

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35267
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение Alex Keda » 2008-12-20 19:40:48

paradox писал(а):
Правила форума
Убедительная просьба юзать теги

Код: Выделить всё

 при оформлении листингов. 
Сообщения не оформленные должным образом имеют все шансы быть незамеченными[/b][/color][/quote][/quote]
верно.

2 kharkov_max 
а конкретно в вашем сообщении я не прочитал ни строки.
если человеку наплевать на окружающих - то и мне на него - тоже =)
Убей их всех! Бог потом рассортирует...

Аватара пользователя
kharkov_max
капитан
Сообщения: 1810
Зарегистрирован: 2008-10-03 14:56:40

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение kharkov_max » 2008-12-20 21:39:23

Абсолютно ни кого не хотел обидеть или отнестись наплевательски.
Если к чему-то отнесся как то не так, сори. Ничего плохого не думал и не хотел.

В любом варианте Вы хотели мне помочь и за это спасибо :drinks: .
С Вашей помощью удалось во многом разобраться, а то что не получается буду ковырять дальше ....

Гость
проходил мимо

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение Гость » 2008-12-21 0:45:06

Юзай LINUX я тебе помогу в два раза что хош настроить Пишы если нужно.

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение paradox » 2008-12-21 0:59:59

интересно и надолго гостя хватит...
после 2000 юзера

Гость
проходил мимо

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение Гость » 2008-12-21 1:11:19

Судя по подписи, вы могли бы настроить NAT отчень быстро а здесь решения так и не было!!!!. В чем проблема???

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35267
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение Alex Keda » 2008-12-21 1:19:43

Гость писал(а):Судя по подписи, вы могли бы настроить NAT отчень быстро а здесь решения так и не было!!!!. В чем проблема???
судя по подписи, я бы вас влёт убил =))
а вот помочь товарисчу ничём не могу - глазки жалко.
Убей их всех! Бог потом рассортирует...

Гость
проходил мимо

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение Гость » 2008-12-21 1:27:06

Как убил физически?? Смотрите я вас не чем не оскорблял а просто сказал что какой смысл в етом форума если просто переписувать собщения а решения нет? Сам сайт вам лис презнателен, действительно класный.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35267
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение Alex Keda » 2008-12-21 1:29:53

Код: Выделить всё

Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
товарисч гвест, из вильной украины...
Постеснялись бы кричать что всё кому угодно настроите, сидя под виндой-то =)))
Убей их всех! Бог потом рассортирует...