Помогите разобраться с NAT и PBR
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- проходил мимо
Re: Помогите разобраться с NAT и PBR
Ну узнать ОС тоже не проблема я сказал что могу помоч такое реализовать как в теме. Можно сказать что вы под фри работаете.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- Alex Keda
- стреляли...
- Сообщения: 35466
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: Помогите разобраться с NAT и PBR
Код: Выделить всё
HP$ uname -a
FreeBSD HP.lissyara.su 8.0-CURRENT FreeBSD 8.0-CURRENT #0: Sat Dec 20 19:31:25 MSK 2008 lissyara@HP.lissyara.su:/usr/obj/usr/src/sys/HP amd64
HP$
Убей их всех! Бог потом рассортирует...
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: Помогите разобраться с NAT и PBR
я ж и говорюГость писал(а):Судя по подписи, вы могли бы настроить NAT отчень быстро а здесь решения так и не было!!!!. В чем проблема???
давайте я посмотрю на вас
как вы будете говорить это после 2000 юзера которому настроите не одну такую схему
разбирая каждый конфиг
и прошу заметить за спасибо)
а у многих сдесь очень много других забот
+
там уже почти добили тогда
а он ушел
пропал
за тему забыли
я уже и непомню что там было
и опять сначала вспоминать
что бы он опять на месяц пропал?
там ситуация попробовать несколько вариантов и по логике все прописать
- kharkov_max
- капитан
- Сообщения: 1862
- Зарегистрирован: 2008-10-03 14:56:40
Re: Помогите разобраться с NAT и PBR
Как Вы верно замечаете, бывают и другие проблемы.... По этому и пропал на месяц.
А смысл писать в форум, если реально нет времени и возможности пробовать различные варианты. Тем более что пропасть можно по разным причинам, болезнь, замлетрясение, природный катоклизм ......
По поводу PBR и NAT на один шлюз через 2 интерфейса. Если честно, то перекопано много инета а решения более ли менее подходящего нет !!!
Мне кажется что если реализация такой схемы разжуется на вашем форуме, то только форуму большой плюс, ибо он реально хороший.
Что имеете против вильной Украины ?
Не все же тут клоуны и идиоты как в правительстве !!!
Имеет ли смысл продолжать ветку ? Или считать что все обижены и тема закрыта ?
Я готов напомнить что необходимо реализовать, и что уже было сделано и перепробовано.
Будет очень жаль, если тема закончена.....
Если что то опять не так сказал или обидел, прошу прощения....
А смысл писать в форум, если реально нет времени и возможности пробовать различные варианты. Тем более что пропасть можно по разным причинам, болезнь, замлетрясение, природный катоклизм ......
По поводу PBR и NAT на один шлюз через 2 интерфейса. Если честно, то перекопано много инета а решения более ли менее подходящего нет !!!
Мне кажется что если реализация такой схемы разжуется на вашем форуме, то только форуму большой плюс, ибо он реально хороший.
Что имеете против вильной Украины ?
Не все же тут клоуны и идиоты как в правительстве !!!
Имеет ли смысл продолжать ветку ? Или считать что все обижены и тема закрыта ?
Я готов напомнить что необходимо реализовать, и что уже было сделано и перепробовано.
Будет очень жаль, если тема закончена.....
Если что то опять не так сказал или обидел, прошу прощения....
- Alex Keda
- стреляли...
- Сообщения: 35466
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: Помогите разобраться с NAT и PBR
думаю что имеет смысл продолжать.
Если хотите знать что имею против "вильной" украины - велком ту /dev/null
Иначе эту тему точно можно будет закрывать.
Если хотите знать что имею против "вильной" украины - велком ту /dev/null
Иначе эту тему точно можно будет закрывать.
Убей их всех! Бог потом рассортирует...
- kharkov_max
- капитан
- Сообщения: 1862
- Зарегистрирован: 2008-10-03 14:56:40
Re: Помогите разобраться с NAT и PBR
Если продолжаем, мне описать суть вопроса и что предпринималось заново?
- schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация:
Re: Помогите разобраться с NAT и PBR
угу. давай. а то действительно перечитывать нет времени, а помочь вроде можно...
ядерный взрыв...смертельно красиво...жаль, что не вечно...
- kharkov_max
- капитан
- Сообщения: 1862
- Зарегистрирован: 2008-10-03 14:56:40
Re: Помогите разобраться с NAT и PBR
Есть сервер с Freebsd 7.1. Freebsd перекомпиляна под поддержку PF, IPFW и несколких таблиц маршрутизации.
Сервер смотрит на Интернет (провайдер 1), локальную сеть внутреннюю и локальную сеть внешнюю (провайдер 2).
Пока интрефейс для интренета не рассматриваем. Это в дальнейшем будет отдельная песня.
------ Задача -------
В итоге получается следующая схема (Внешняя локалка) - (Сервер Freebsd 7.1) - (Внутренняя локалка)
1. На внутреннюю локалку смотрит 1 физический интерфейс int_if. Этот интерфейс смортрит на свич, к нему (свичу) подключены 2 компа (comp1 и comp2).
2. На внешнюю локалку (провайдер 2) смотрит 2 интерфейса (ext_if1 и ext_if2). У которых соответственно свой IP и Mac адрес.
Объясню зачем 2 интерфейса. Провайдер 2 определяет комп в своей сети по IP и Mac адресу. Если компы идут не со своими IP или Mac, у провайдера блокируется подключение, скорее всего блокирует управляемый свич. Для того что бы можно было ходить через провайдера 2 с разных компов был орендован дополнительный IP адрес (ext_if2). Мне нужно что б comp1 и comp2 мог общаться с провайдером 2 через разные сетевые интерфейсы. Т.е. comp1 - ext_if1, comp2 - ext_if2.
3. Интерфейс ext_if1 и ext_if2 на провайдера смотрят на один шлюз. В этом и заключается основная проблема!!!
------ Что предпринималось -------
Была попытка реализовать эту схему подключения через divert. Но эта попытка закончилась неудачей т.к. интерфейсы сморят на один шлюз по умолчанию. По совету экспертов и почитав интернет решил реализовать через PF, и мое мнение что ни что другое кроме PF это сделать не сможет. Возможно мое мнение ошибочно ....
------ Как пытаюсь делать в PF, pf.conf --------
----- Результат ----
Все пакеты вылятся на один интервейс ext_if1, соответственно comp2 никуда не ходит.
----- Вопросы -----
По ходу решения моей маршрутизации возникло несколько вопросов.
1. В правилах фильтрации используется направление пакетов in и out, прочитав несколько форумов меня сбило с толку.
out - это исходящие пакеты от сервера Freebsd, а in - это входящие пакеты на сервер Freebsd, так ?
2. Я делаю route-to не с локального интерфейса а использую IP компа в моей сети, понимает ли директива route-to то что я от нее хочу или она может работать только с локальными гейтами ?
Вот собственно и все. Еще раз повторюсь ext_if1 и ext_if2 смотрят на один шлюз, и что либо там изменить я не могу .
Заранее спасибо за помощь.
Сервер смотрит на Интернет (провайдер 1), локальную сеть внутреннюю и локальную сеть внешнюю (провайдер 2).
Пока интрефейс для интренета не рассматриваем. Это в дальнейшем будет отдельная песня.
------ Задача -------
В итоге получается следующая схема (Внешняя локалка) - (Сервер Freebsd 7.1) - (Внутренняя локалка)
1. На внутреннюю локалку смотрит 1 физический интерфейс int_if. Этот интерфейс смортрит на свич, к нему (свичу) подключены 2 компа (comp1 и comp2).
2. На внешнюю локалку (провайдер 2) смотрит 2 интерфейса (ext_if1 и ext_if2). У которых соответственно свой IP и Mac адрес.
Объясню зачем 2 интерфейса. Провайдер 2 определяет комп в своей сети по IP и Mac адресу. Если компы идут не со своими IP или Mac, у провайдера блокируется подключение, скорее всего блокирует управляемый свич. Для того что бы можно было ходить через провайдера 2 с разных компов был орендован дополнительный IP адрес (ext_if2). Мне нужно что б comp1 и comp2 мог общаться с провайдером 2 через разные сетевые интерфейсы. Т.е. comp1 - ext_if1, comp2 - ext_if2.
3. Интерфейс ext_if1 и ext_if2 на провайдера смотрят на один шлюз. В этом и заключается основная проблема!!!
------ Что предпринималось -------
Была попытка реализовать эту схему подключения через divert. Но эта попытка закончилась неудачей т.к. интерфейсы сморят на один шлюз по умолчанию. По совету экспертов и почитав интернет решил реализовать через PF, и мое мнение что ни что другое кроме PF это сделать не сможет. Возможно мое мнение ошибочно ....
------ Как пытаюсь делать в PF, pf.conf --------
Код: Выделить всё
## Описываем переменные, содержащие имена интерфейсов
int_if="em0"
ext_if1="em1"
ext_if2="em2"
ext_network="192.168.133.0/24"
gateway="192.168.133.250"
comp1="192.168.10.11"
comp2="192.168.10.12"
# ICMP Unreacheble
set block-policy return
set skip on lo0
set skip on $int_if
# Нормализация входящего трафика
scrub in all
# Натим пакеты из локалки
nat on $ext_if1 from $comp1 to any -> ($ext_if1)
nat on $ext_if2 from $comp2 to $ext_network -> ($ext_if2)
# default deny
block all
# Этими правилами пытаюсь запретить выход пакетов от comp1 через ext_if2 и от comp2 через ext_if1
block out quick on $ext_if1 from $comp2 to $ext_if1
block out quick on $ext_if2 from $comp1 to $ext_if2
# Этими правилами пытаюсь направить трафик от компов в необходимые интерфейсы
pass out on $ext_if1 route-to $ext_if1 from $comp1 to any keep state
pass in on $ext_if1 from $ext_network to any
pass out on $ext_if1 route-to $ext_if2 from $comp2 to any keep state
pass out on $ext_if2 route-to $ext_if2 from $comp2 to any keep state
pass in on $ext_if2 from $ext_network to any
Все пакеты вылятся на один интервейс ext_if1, соответственно comp2 никуда не ходит.
----- Вопросы -----
По ходу решения моей маршрутизации возникло несколько вопросов.
1. В правилах фильтрации используется направление пакетов in и out, прочитав несколько форумов меня сбило с толку.
out - это исходящие пакеты от сервера Freebsd, а in - это входящие пакеты на сервер Freebsd, так ?
2. Я делаю route-to не с локального интерфейса а использую IP компа в моей сети, понимает ли директива route-to то что я от нее хочу или она может работать только с локальными гейтами ?
Вот собственно и все. Еще раз повторюсь ext_if1 и ext_if2 смотрят на один шлюз, и что либо там изменить я не могу .
Заранее спасибо за помощь.
Последний раз редактировалось kharkov_max 2008-12-22 14:03:05, всего редактировалось 1 раз.
- Alex Keda
- стреляли...
- Сообщения: 35466
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: Помогите разобраться с NAT и PBR
а просветления от чтения текста на красном фоне как не было, так и нету...
Убей их всех! Бог потом рассортирует...
- kharkov_max
- капитан
- Сообщения: 1862
- Зарегистрирован: 2008-10-03 14:56:40
Re: Помогите разобраться с NAT и PBR
Сори...lissyara писал(а):а просветления от чтения текста на красном фоне как не было, так и нету...
- kharkov_max
- капитан
- Сообщения: 1862
- Зарегистрирован: 2008-10-03 14:56:40
Re: Помогите разобраться с NAT и PBR
Может этой информации не достаточно ?
- Alex Keda
- стреляли...
- Сообщения: 35466
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: Помогите разобраться с NAT и PBR
чё сделать пытаетесь - я так и не понял... по остальному
помоему несложно...
2. это к чему?
1. если пакет идёт сквозь машину то она одном он будет in а на другом outkharkov_max писал(а): По ходу решения моей маршрутизации возникло несколько вопросов.
1. В правилах фильтрации используется направление пакетов in и out, прочитав несколько форумов меня сбило с толку.
out - это исходящие пакеты от сервера Freebsd, а in - это входящие пакеты на сервер Freebsd, так ?
2. Я делаю route-to не с локального интерфейса а использую IP компа в моей сети, понимает ли директива route-to то что я от нее хочу или она может работать только с локальными гейтами ?
Вот собственно и все. Еще раз повторюсь ext_if1 и ext_if2 смотрят на один шлюз, и что либо там изменить я не могу .
Заранее спасибо за помощь.
помоему несложно...
2. это к чему?
Убей их всех! Бог потом рассортирует...
- kharkov_max
- капитан
- Сообщения: 1862
- Зарегистрирован: 2008-10-03 14:56:40
Re: Помогите разобраться с NAT и PBR
Хочу заставить 2 компа из локальной сети, ходить через разные 2 интерфейса сервера. Где интерфейсы сервера смотрят на один шлюз по умолчанию.lissyara писал(а):чё сделать пытаетесь - я так и не понял...
Делается для того что б для внешней сети, компы из внутренней сети, имели свой мак и IP адрес (которые выдал и зарегистрировал провайдер).
Я почему-то думал что in и out есть на каждом сетевом интерфейсе сервера. Т.е. если пакет проходит через сервер то будет так (in int_if - out int_if - out_ext_if - in ext_if).lissyara писал(а): 1. если пакет идёт сквозь машину то она одном он будет in а на другом out
помоему несложно...
Если я правильно Вас понял вы говорите что если пакет идет из локальной сети в мир то у него будет так (in int_if - out ext_if) Т.е. in будет на сетевой карте локальной сети а out будет не сетевой смотрящей в мир так ?
Что я имел ввиду.lissyara писал(а): 2. это к чему?
Может ли route-to ловить пакеты идущие не с локального интерфейса а с компьютера в локальной сети. Т.е. route-to работает только с локальными интерфейсами (int_if 192.168.10.1, ext_if 10.10.10.1 т.е. пересылает пакеты между локальными интерфейсами)?
Или может поймать пакет из локальной сети (относящийся к какому-нибудь ПК) и перенаправить его через нужный локальный интерфейс в мир на необходимый IP в мире?
- kharkov_max
- капитан
- Сообщения: 1862
- Зарегистрирован: 2008-10-03 14:56:40
Re: Помогите разобраться с NAT и PBR
Добавлю по поводу in и out.
Или так, для локальных интерфейсов сервера (inf_if и ext_if):
1. Пакет идущий из локальной сети в мир будет проходить так (in int_if - out ext_if)
2. Пакет идущий из мира в локальную сеть будет проходить так (in ext_if - out int_if)
Или так, для локальных интерфейсов сервера (inf_if и ext_if):
1. Пакет идущий из локальной сети в мир будет проходить так (in int_if - out ext_if)
2. Пакет идущий из мира в локальную сеть будет проходить так (in ext_if - out int_if)
- kharkov_max
- капитан
- Сообщения: 1862
- Зарегистрирован: 2008-10-03 14:56:40
Re: Помогите разобраться с NAT и PBR
Up.
Ну хотя бы скажите возможно ли реализовать такую маршрутизацию ....
Ну хотя бы скажите возможно ли реализовать такую маршрутизацию ....
- kharkov_max
- капитан
- Сообщения: 1862
- Зарегистрирован: 2008-10-03 14:56:40
Re: Помогите разобраться с NAT и PBR
Извините за настойчивость.
UP.
UP.