Помогите разобраться с NAT и PBR

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Гость
проходил мимо

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение Гость » 2008-12-21 1:33:44

Ну узнать ОС тоже не проблема я сказал что могу помоч такое реализовать как в теме. Можно сказать что вы под фри работаете. :smile:

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35466
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение Alex Keda » 2008-12-21 1:43:50

Код: Выделить всё

HP$ uname -a
FreeBSD HP.lissyara.su 8.0-CURRENT FreeBSD 8.0-CURRENT #0: Sat Dec 20 19:31:25 MSK 2008     lissyara@HP.lissyara.su:/usr/obj/usr/src/sys/HP  amd64
HP$   
бывает =)
Убей их всех! Бог потом рассортирует...

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение paradox » 2008-12-21 1:57:55

Гость писал(а):Судя по подписи, вы могли бы настроить NAT отчень быстро а здесь решения так и не было!!!!. В чем проблема???
я ж и говорю
давайте я посмотрю на вас
как вы будете говорить это после 2000 юзера которому настроите не одну такую схему
разбирая каждый конфиг
и прошу заметить за спасибо)
а у многих сдесь очень много других забот

+
там уже почти добили тогда
а он ушел
пропал
за тему забыли
я уже и непомню что там было
и опять сначала вспоминать
что бы он опять на месяц пропал?

там ситуация попробовать несколько вариантов и по логике все прописать

Аватара пользователя
kharkov_max
капитан
Сообщения: 1862
Зарегистрирован: 2008-10-03 14:56:40

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение kharkov_max » 2008-12-21 9:31:59

Как Вы верно замечаете, бывают и другие проблемы.... По этому и пропал на месяц.
А смысл писать в форум, если реально нет времени и возможности пробовать различные варианты. Тем более что пропасть можно по разным причинам, болезнь, замлетрясение, природный катоклизм ......

По поводу PBR и NAT на один шлюз через 2 интерфейса. Если честно, то перекопано много инета а решения более ли менее подходящего нет !!!
Мне кажется что если реализация такой схемы разжуется на вашем форуме, то только форуму большой плюс, ибо он реально хороший.

Что имеете против вильной Украины ?
Не все же тут клоуны и идиоты как в правительстве !!!

Имеет ли смысл продолжать ветку ? Или считать что все обижены и тема закрыта ?
Я готов напомнить что необходимо реализовать, и что уже было сделано и перепробовано.
Будет очень жаль, если тема закончена..... :(

Если что то опять не так сказал или обидел, прошу прощения....

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35466
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение Alex Keda » 2008-12-21 10:41:50

думаю что имеет смысл продолжать.
Если хотите знать что имею против "вильной" украины - велком ту /dev/null
Иначе эту тему точно можно будет закрывать.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
kharkov_max
капитан
Сообщения: 1862
Зарегистрирован: 2008-10-03 14:56:40

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение kharkov_max » 2008-12-21 11:02:18

Если продолжаем, мне описать суть вопроса и что предпринималось заново?

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение schizoid » 2008-12-22 10:51:49

угу. давай. а то действительно перечитывать нет времени, а помочь вроде можно...
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
kharkov_max
капитан
Сообщения: 1862
Зарегистрирован: 2008-10-03 14:56:40

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение kharkov_max » 2008-12-22 13:24:13

Есть сервер с Freebsd 7.1. Freebsd перекомпиляна под поддержку PF, IPFW и несколких таблиц маршрутизации.

Сервер смотрит на Интернет (провайдер 1), локальную сеть внутреннюю и локальную сеть внешнюю (провайдер 2).
Пока интрефейс для интренета не рассматриваем. Это в дальнейшем будет отдельная песня.

------ Задача -------

В итоге получается следующая схема (Внешняя локалка) - (Сервер Freebsd 7.1) - (Внутренняя локалка)
1. На внутреннюю локалку смотрит 1 физический интерфейс int_if. Этот интерфейс смортрит на свич, к нему (свичу) подключены 2 компа (comp1 и comp2).
2. На внешнюю локалку (провайдер 2) смотрит 2 интерфейса (ext_if1 и ext_if2). У которых соответственно свой IP и Mac адрес.
Объясню зачем 2 интерфейса. Провайдер 2 определяет комп в своей сети по IP и Mac адресу. Если компы идут не со своими IP или Mac, у провайдера блокируется подключение, скорее всего блокирует управляемый свич. Для того что бы можно было ходить через провайдера 2 с разных компов был орендован дополнительный IP адрес (ext_if2). Мне нужно что б comp1 и comp2 мог общаться с провайдером 2 через разные сетевые интерфейсы. Т.е. comp1 - ext_if1, comp2 - ext_if2.
3. Интерфейс ext_if1 и ext_if2 на провайдера смотрят на один шлюз. В этом и заключается основная проблема!!!

------ Что предпринималось -------

Была попытка реализовать эту схему подключения через divert. Но эта попытка закончилась неудачей т.к. интерфейсы сморят на один шлюз по умолчанию. По совету экспертов и почитав интернет решил реализовать через PF, и мое мнение что ни что другое кроме PF это сделать не сможет. Возможно мое мнение ошибочно ....

------ Как пытаюсь делать в PF, pf.conf --------

Код: Выделить всё

## Описываем переменные, содержащие имена интерфейсов

int_if="em0"
ext_if1="em1"
ext_if2="em2"
ext_network="192.168.133.0/24"
gateway="192.168.133.250"

comp1="192.168.10.11"
comp2="192.168.10.12"

# ICMP Unreacheble
set block-policy return
set skip on lo0
set skip on $int_if

# Нормализация входящего трафика
scrub in all

# Натим пакеты из локалки
nat on $ext_if1 from $comp1 to any -> ($ext_if1)
nat on $ext_if2 from $comp2 to $ext_network -> ($ext_if2)

# default deny
block all

# Этими правилами пытаюсь запретить выход пакетов от comp1 через ext_if2 и от comp2 через ext_if1

block out quick on $ext_if1 from $comp2 to $ext_if1  
block out quick on $ext_if2 from $comp1 to $ext_if2

# Этими правилами пытаюсь направить трафик от компов в необходимые интерфейсы
pass out on $ext_if1 route-to $ext_if1 from $comp1 to any keep state
pass in on $ext_if1 from $ext_network to any 

pass out on $ext_if1 route-to $ext_if2 from $comp2 to any keep state
pass out on $ext_if2 route-to $ext_if2 from $comp2 to any keep state
pass in on $ext_if2 from $ext_network to any

----- Результат ----

Все пакеты вылятся на один интервейс ext_if1, соответственно comp2 никуда не ходит.

----- Вопросы -----
По ходу решения моей маршрутизации возникло несколько вопросов.

1. В правилах фильтрации используется направление пакетов in и out, прочитав несколько форумов меня сбило с толку.
out - это исходящие пакеты от сервера Freebsd, а in - это входящие пакеты на сервер Freebsd, так ?
2. Я делаю route-to не с локального интерфейса а использую IP компа в моей сети, понимает ли директива route-to то что я от нее хочу или она может работать только с локальными гейтами ?

Вот собственно и все. Еще раз повторюсь ext_if1 и ext_if2 смотрят на один шлюз, и что либо там изменить я не могу .
Заранее спасибо за помощь.
Последний раз редактировалось kharkov_max 2008-12-22 14:03:05, всего редактировалось 1 раз.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35466
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение Alex Keda » 2008-12-22 13:36:10

а просветления от чтения текста на красном фоне как не было, так и нету...
Убей их всех! Бог потом рассортирует...

Аватара пользователя
kharkov_max
капитан
Сообщения: 1862
Зарегистрирован: 2008-10-03 14:56:40

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение kharkov_max » 2008-12-22 14:03:36

lissyara писал(а):а просветления от чтения текста на красном фоне как не было, так и нету...
Сори...

Аватара пользователя
kharkov_max
капитан
Сообщения: 1862
Зарегистрирован: 2008-10-03 14:56:40

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение kharkov_max » 2008-12-23 16:06:48

Может этой информации не достаточно ?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35466
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение Alex Keda » 2008-12-24 12:49:10

чё сделать пытаетесь - я так и не понял... по остальному
kharkov_max писал(а): По ходу решения моей маршрутизации возникло несколько вопросов.

1. В правилах фильтрации используется направление пакетов in и out, прочитав несколько форумов меня сбило с толку.
out - это исходящие пакеты от сервера Freebsd, а in - это входящие пакеты на сервер Freebsd, так ?
2. Я делаю route-to не с локального интерфейса а использую IP компа в моей сети, понимает ли директива route-to то что я от нее хочу или она может работать только с локальными гейтами ?

Вот собственно и все. Еще раз повторюсь ext_if1 и ext_if2 смотрят на один шлюз, и что либо там изменить я не могу .
Заранее спасибо за помощь.
1. если пакет идёт сквозь машину то она одном он будет in а на другом out
помоему несложно...
2. это к чему?
Убей их всех! Бог потом рассортирует...

Аватара пользователя
kharkov_max
капитан
Сообщения: 1862
Зарегистрирован: 2008-10-03 14:56:40

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение kharkov_max » 2008-12-26 7:21:31

lissyara писал(а):чё сделать пытаетесь - я так и не понял...
Хочу заставить 2 компа из локальной сети, ходить через разные 2 интерфейса сервера. Где интерфейсы сервера смотрят на один шлюз по умолчанию.
Делается для того что б для внешней сети, компы из внутренней сети, имели свой мак и IP адрес (которые выдал и зарегистрировал провайдер).
lissyara писал(а): 1. если пакет идёт сквозь машину то она одном он будет in а на другом out
помоему несложно...
Я почему-то думал что in и out есть на каждом сетевом интерфейсе сервера. Т.е. если пакет проходит через сервер то будет так (in int_if - out int_if - out_ext_if - in ext_if).
Если я правильно Вас понял вы говорите что если пакет идет из локальной сети в мир то у него будет так (in int_if - out ext_if) Т.е. in будет на сетевой карте локальной сети а out будет не сетевой смотрящей в мир так ?
lissyara писал(а): 2. это к чему?
Что я имел ввиду.
Может ли route-to ловить пакеты идущие не с локального интерфейса а с компьютера в локальной сети. Т.е. route-to работает только с локальными интерфейсами (int_if 192.168.10.1, ext_if 10.10.10.1 т.е. пересылает пакеты между локальными интерфейсами)?
Или может поймать пакет из локальной сети (относящийся к какому-нибудь ПК) и перенаправить его через нужный локальный интерфейс в мир на необходимый IP в мире?

Аватара пользователя
kharkov_max
капитан
Сообщения: 1862
Зарегистрирован: 2008-10-03 14:56:40

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение kharkov_max » 2008-12-26 7:33:10

Добавлю по поводу in и out.

Или так, для локальных интерфейсов сервера (inf_if и ext_if):
1. Пакет идущий из локальной сети в мир будет проходить так (in int_if - out ext_if)
2. Пакет идущий из мира в локальную сеть будет проходить так (in ext_if - out int_if)

Аватара пользователя
kharkov_max
капитан
Сообщения: 1862
Зарегистрирован: 2008-10-03 14:56:40

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение kharkov_max » 2008-12-30 18:02:47

Up.

Ну хотя бы скажите возможно ли реализовать такую маршрутизацию ....

Аватара пользователя
kharkov_max
капитан
Сообщения: 1862
Зарегистрирован: 2008-10-03 14:56:40

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение kharkov_max » 2009-01-06 10:32:24

Извините за настойчивость.
UP.