Помогите разобраться с NAT и PBR

[kharkov_max]

Я закоментировал # ${ipfw} add 65534 allow ip any to any
и получилось вот так:
00100 325051 14957059 divert 8668 ip from any to 192.168.100.1
00200 10 440 divert 8778 ip from any to 192.168.100.2
00300 7910 356103 fwd 192.168.100.250 ip from 192.168.100.1 to any
00400 10 560 fwd 192.168.100.250 ip from 192.168.100.2 to any
00500 370 22200 divert 8668 ip from 192.168.10.11 to any via 192.168.100.1
00600 0 0 divert 8778 ip from 192.168.10.12 to any via 192.168.100.2
65535 306517 15303001 allow ip from any to any

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[schizoid]

и что? не работает?
по-моему правила 100 и 200 нельзя делать from any, думаю нуно указать ИП, а то до 2-го правила и не дойдет даже

[schizoid]

и еще. почему вы так упорно не хотите сделать так как я вам написал?
у меня эта схема работает (правда шлюзы разные)

[kharkov_max]

и еще. почему вы так упорно не хотите сделать так как я вам написал?
у меня эта схема работает (правда шлюзы разные)

Извините, может я чего то не понимаю т.к. новичек во freebsd, а как вы советуете?

Я понимаю что так: fwd (адрес шлюза провайдера) ip from (интерфейс смотрящий на провайдера) to (any или конкретный комп во внутренней сети)
т.е. вот так:
${ipfw} add 300 fwd ${inetrouter} ip from ${em1} to any
${ipfw} add 400 fwd ${inetrouter} ip from ${em2} to any

Я понимаю что у Вас такие же правила только inetrouter разный т.к. разные сети или провайдеры.
Если я ошибаюсь напишите пожалуйста как будет правильно.

[paradox]

небудет оно работать
потому что fwd в один и тот же шлюз
а через другой интерфейс оно даже не выйдет
нужно думать над другими реализациями

[kharkov_max]

небудет оно работать
потому что fwd в один и тот же шлюз
а через другой интерфейс оно даже не выйдет
нужно думать над другими реализациями

А Вы сможете мне помочь добить это дело ?

[paradox]

думать надо а не расчитывать на помощь когото)
я конечно подумаю
но у вас для експериментов больше возможностей

[paradox]

пробуй на PF сделать
http://www.openbsd.org/faq/pf/pools.html

[kharkov_max]

Да и я тоже не буду сидеть руки сложа. Просто уже весь инет перерыл, а похожей ситуации ни у кого нет, хоть пример какой нить ....
А если поднять еще одну freebsd с гейтом скажем 192,168,200,1, на нее натравить comp2 а уже со 2 й freebsd выткнуть на провайдера.

Дело в том что freebsd поднят на vmware. Т.е. я под 2003 сервером делаю vmware-router, который по задумке должен был разрулить всю маршрутизацию по сети провайдера через em1 и em2 и интернета через ADSL модем. Комп под сервер один.

[paradox]

делай на PF
ссылку я выше дал
там пример есть
как выпускать определенный комп через определенный интерфейс
попробуй
скажешь
получилось или нет
просто с такой ситуацией когда источник один и тот же шлюз - может получиться что вообще решений нет
либо нужно сидеть и разбираться
для чего у меня нет времени

[kharkov_max]

День добрый.
Хочу продолжить данную тему.
Пытаюсь реализовать данную задачу на PF.
Перекомпилил я дро для PF, включил PF в rc.conf.

Мой файл правил PF.

int_if="em0" # 192.168.10.1
ext_if1="em1" # 192.168.100.1
ext_if2="em2" # 192.168.100.2
ext_network="192.168.110.0/24"

comp1="192.168.10.11"
comp2="192.168.10.12"

# ICMP Unreacheble
set block-policy return

# Нормализация входящего трафика
scrub in all

# Натим пакеты из локалки
nat on $ext_if1 from $comp1 to $ext_network -> ($ext_if1)
nat on $ext_if1 from $comp2 to $ext_network -> ($ext_if2)

Вроде с обоих компов сеть 192.168.110.0 пингуется, но у меня есть подозрение что оба внутренних компа ходят через ext_if1. Если выключаю сетевую ext_if1, то пинговать внешнюю сеть перестают оба компа. Если выключаю ext_if2, то comp1 пингует нормально, а comp2 не пингует сеть. Т.е. вроде как заработало....
Подскажите как можно проверить мои догадки средствами freebsd ?
Да и еще Freebsd постоянно ругается на то что для 2х интерфейсов одит gateway по умолчанию и пишет "router kernel: arp 192.168.110.250 is on em1 but got reply from ..... on em2", как мне отключить это сообщение или сделать так что его не выдавало?

Заранее большое спасибо...

[paradox]

одного nat мало
ты статью полностью прочитал?
где route-to reply-to
?итд
я тебе про лоад баланс говорил

[kharkov_max]

День добрый.

Наконец то появилось время продолжить эту тему.
Перечитав статью делаю вот так:
## Описываем переменные, содержащие имена интерфейсов

int_if="em0"
ext_if1="em1"
ext_if2="em2"
ext_network="192.168.133.0/24"
gateway="192.168.133.1"

comp1="192.168.10.11"
comp2="192.168.10.12"

# ICMP Unreacheble
set block-policy return
set skip on lo0
set skip on $int_if

# Нормализация входящего трафика
scrub in all

# Натим пакеты из локалки

nat on $ext_if1 from $comp1 to $ext_network -> ($ext_if1)
nat on $ext_if1 from $comp2 to $ext_network -> ($ext_if2)
nat on $ext_if2 from $comp2 to $ext_network -> ($ext_if2)

# default deny
# block all

pass out on $ext_if1 route-to ($ext_if1 $gateway) from $comp1 to any keep state
pass in on $ext_if1 from any to any
pass out on $ext_if1 route-to ($ext_if2 $gateway) from $comp2 to any keep state
pass in on $ext_if2 from any to any

Как я понимаю все пакеты по умолчанию во внешнюю сеть будут валится на интерфейс ext_if1 (т.к. default gateway один для 2х внешних интерфейсов), т.е. на первый интерфейс для внешней сети. Для того что бы реализовать мою задачу и выпускать comp2 через ext_if2 необходимо отлавливать пакеты на ext_if1 и route-to перекидывать их на ext_if2. Собственно это я показал выше, возможно это криво или не верно.

В данный момент оба компа нормально пингуют внешнюю сеть, но если я физически вынимаю кабель из ext_if1, то пинги пропадают на 2х ПК. Это нормально ?
И еще вопрос, как проверить что пакеты идут верно ? Ибо есть подозрение что с comp2 они выходят через ext_if1, а возвращаются через ext_if2.

[kharkov_max]

Как проверить, разобрался.
Tcpdump говорит что пакеты идут на один интерфейс ....

Подскажите мне поможет reply-to или route-to? Или можно в этом направлении не копать ?

[Alex Keda]

прочтите уже текст на крсном фоне вверху страницы....

[kharkov_max]

прочтите уже текст на крсном фоне вверху страницы....

А что читать ?

Все что я хочу сделать описано выше.
Могу повторится.

В сервере 3 сетевые платы.
1. смотрит в локалку
2-3 смотрит на внешнюю сеть с одним шлюзом.

Из локалки во внешнюю сеть необходимо вывести 2 компа через разные сетевые интерфейсы. (2-3). Сделать PBR. Вся проблема в том что у интерфейса 2 и 3 один шлюз по умолчанию. Пытаюсь сделать вот так:

## Описываем переменные, содержащие имена интерфейсов

int_if="em0" # 192.168.10.1
ext_if1="em1" # 192.168.133.100
ext_if2="em2" # 192.168.133.101
ext_network="192.168.133.0/24"
gateway="192.168.133.1"

comp1="192.168.10.11"
comp2="192.168.10.12"

# ICMP Unreacheble
set block-policy return
set skip on lo0
set skip on $int_if

# Нормализация входящего трафика
scrub in all

# Натим пакеты из локалки

nat on $ext_if1 from $comp1 to $ext_network -> ($ext_if1)
nat on $ext_if1 from $comp2 to $ext_network -> ($ext_if2) # Ставлю на всякий случай если пакеты от comp2 пойдут на ext_if1. Возможно это и не верно.
nat on $ext_if2 from $comp2 to $ext_network -> ($ext_if2)

# default deny
block all

pass out on $ext_if1 route-to ($ext_if1 $gateway) from $comp1 to any keep state
pass in on $ext_if1 from any to any
pass out on $ext_if1 route-to ($ext_if2 $gateway) from $comp2 to any keep state
pass in on $ext_if2 from any to any

Но пакеты все равно идут через один интерфейс. Подскажите как настроить правильно....

В правиле для исходящего трафика от comp1 (pass out on $ext_if1 route-to ($ext_if1 $gateway) from $comp1 to any keep state) я использую from $comp1. Понимает ли PF что я от него хочу или route-to работает только с локальными интарфейсами ? Т.е. перенаправлять пакеты можно от любого адреса во внутренней сети (в моем случае это comp1) или только с интерфейса сервера смотрящего во внутреннюю сеть?
Если route-to не работает с адресом из локальной сети, как правильно отловить пакет пометить его и послать в нужный мне интерфейс внешней сети ?

[paradox]

Правила форума
Убедительная просьба юзать теги

Код: Выделить всё

 при оформлении листингов. 
Сообщения не оформленные должным образом имеют все шансы быть незамеченными[/b][/color][/quote]

[Alex Keda]

Правила форума
Убедительная просьба юзать теги

Код: Выделить всё

 при оформлении листингов. 
Сообщения не оформленные должным образом имеют все шансы быть незамеченными[/b][/color][/quote][/quote]
верно.

2 kharkov_max 
а конкретно в вашем сообщении я не прочитал ни строки.
если человеку наплевать на окружающих - то и мне на него - тоже =)

[kharkov_max]

Абсолютно ни кого не хотел обидеть или отнестись наплевательски.
Если к чему-то отнесся как то не так, сори. Ничего плохого не думал и не хотел.

В любом варианте Вы хотели мне помочь и за это спасибо .
С Вашей помощью удалось во многом разобраться, а то что не получается буду ковырять дальше ....

[Гость]

Юзай LINUX я тебе помогу в два раза что хош настроить Пишы если нужно.

[paradox]

интересно и надолго гостя хватит...
после 2000 юзера

[Гость]

Судя по подписи, вы могли бы настроить NAT отчень быстро а здесь решения так и не было!!!!. В чем проблема???

[Alex Keda]

Судя по подписи, вы могли бы настроить NAT отчень быстро а здесь решения так и не было!!!!. В чем проблема???

судя по подписи, я бы вас влёт убил )
а вот помочь товарисчу ничём не могу - глазки жалко.

[Гость]

Как убил физически?? Смотрите я вас не чем не оскорблял а просто сказал что какой смысл в етом форума если просто переписувать собщения а решения нет? Сам сайт вам лис презнателен, действительно класный.

[Alex Keda]

Код: Выделить всё

Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

товарисч гвест, из вильной украины...
Постеснялись бы кричать что всё кому угодно настроите, сидя под виндой-то ))