Помогите разобраться с NAT и PBR

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
kharkov_max
капитан
Сообщения: 1810
Зарегистрирован: 2008-10-03 14:56:40

Помогите разобраться с NAT и PBR

Непрочитанное сообщение kharkov_max » 2008-10-03 15:03:54

День добрый.

Пытаюсь поднять Nat на друх интерфейсах для маршрутизации от источника.

Есть сеть 192.168.110.0 (Lan1)и сеть 192.168.10.0 (Lan2) между ними стоит мой роутер.
Сеть Lan1 не видит адресов Lan2

На сеть Lan1 смотрит из роутера 2 интерфейса с адресами 192.168.110.1 (em1) и 192.168.110.2 (em2)
В сети Lan2 есть 2 компа которые необходимо выткнуть в сеть Lan1 через разные интерфейсы em1 и em2 т.е. сделать PBR.

Делаю так:

Код: Выделить всё

# rc.conf

ifconfig_em0="inet 192.168.10.1  netmask 255.255.255.0"  	
ifconfig_em1="inet 192.168.110.1  netmask 255.255.255.0"  	
ifconfig_em2="inet 192.168.110.2  netmask 255.255.255.0"  	

defaultrouter="192.168.133.250"					

firewall_enable="YES"						
firewall_type="close"						
firewall_quiet="Yes"						
firewall_script="/etc/firewall.conf"				

natd_enable="YES"						
# natd_interface="em1"		
# natd_interface="em2"

# firewall.conf 
ipfw="/sbin/ipfw -q"
inetrouter="192.168.110.250"

comp1="192.168.10.11"
comp2="192.168.10.12"

em1="192.168.110.1"
em2="192.168.110.2"

${ipfw} -f flush

natd -a ${em1} -p 8668
natd -a ${em2} -p 8778

${ipfw} add 100 divert 8668 ip from ${comp1} to any via ${em1}
${ipfw} add 200 divert 8778 ip from ${comp2} to any via ${em2}
${ipfw} add 300 fwd any ip from ${em1} to ${comp1}
${ipfw} add 400 fwd any ip from ${em2} to ${comp2}
${ipfw} add 500 divert 8778 ip from any to ${em2} 
${ipfw} add 600 divert 8668 ip from any to ${em1} 
${ipfw} add 65534 allow ip any to any
В результате comp1 ходит нормально, а comp2 даже не пингует свой интерфейс em2.
Проблема в том что интерфейсы em1 и em2 смотрят в одну сеть ...

Подскажите как реализовать данную схему работы сети правильно.

Заранее спасибо.
Последний раз редактировалось zingel 2008-10-03 15:44:51, всего редактировалось 1 раз.
Причина: юзай кнопку [code][/code]

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение paradox » 2008-10-03 16:30:35

ну нереальная каша
ifconfig_em1="inet 192.168.110.1 netmask 255.255.255.0"
ifconfig_em2="inet 192.168.110.2 netmask 255.255.255.0"
comp2 даже не пингует свой интерфейс em2.
Проблема в том что интерфейсы em1 и em2 смотрят в одну сеть
а что вы там такое хотите сделать?то

Аватара пользователя
kharkov_max
капитан
Сообщения: 1810
Зарегистрирован: 2008-10-03 14:56:40

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение kharkov_max » 2008-10-03 16:41:44

Хочу в одну сеть Lan1, вывести 2 компа, из сети Lan2, через разные сетевые карты em1 и em2.

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение paradox » 2008-10-03 16:54:57

рисуй топологию
я чет нифига не вьеду зачем там такие закрученые конфиги

Аватара пользователя
kharkov_max
капитан
Сообщения: 1810
Зарегистрирован: 2008-10-03 14:56:40

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение kharkov_max » 2008-10-03 17:29:53

Попробую нарисовать.

- em1 |freebsd | - comp1
Lan1 - | роутер | em0 - свич (Lan2) -
-em2 | | - comp2

Если подразумавалось буквально нарисовать.

На словах. 2 компа из одной сети, необходимо через NAT вывести в другую сеть, по разным интерфейсам роутера.
Т.е. что б один комп работал только через em1, а второй только через em2.

Аватара пользователя
kharkov_max
капитан
Сообщения: 1810
Зарегистрирован: 2008-10-03 14:56:40

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение kharkov_max » 2008-10-03 17:32:11

Да и еще у defaultrouter адрес "192.168.110.250"
В начале опечатка.

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение paradox » 2008-10-03 17:34:41

а сеть Lan1 смотрит из роутера 2 интерфейса с адресами 192.168.110.1 (em1) и 192.168.110.2 (em2)
обьясни смысл 2 сетевок на одну сеть?
почему нельзя одну?

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение paradox » 2008-10-03 17:39:30

нарисуй нормально топологию картинкой и прикрепи
распиши где там какой айпишник и комп

а то
${ipfw} add 300 fwd any ip from ${em1} to ${comp1}
${ipfw} add 400 fwd any ip from ${em2} to ${comp2}
чесно говоря бред
куда fwd будет?))))в any нет такого адреса

Аватара пользователя
kharkov_max
капитан
Сообщения: 1810
Зарегистрирован: 2008-10-03 14:56:40

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение kharkov_max » 2008-10-03 17:44:47

paradox писал(а):
а сеть Lan1 смотрит из роутера 2 интерфейса с адресами 192.168.110.1 (em1) и 192.168.110.2 (em2)
обьясни смысл 2 сетевок на одну сеть?
почему нельзя одну?
Провайдер определяет компы по IP и Mac адресу.
У провайдера был взят дополнительный IP. Поэтому на провайдера смотрит 2 сетевых.
Задача стоит весь трафик от внутренних компов направить через сервер.

Сейчас рисунок сделаю.

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение paradox » 2008-10-03 17:47:37

Код: Выделить всё

Провайдер определяет компы по IP и Mac адресу.
мак адре PBR Не прокидываеться
и зачем был взят второй айпи неяно
можно было NAT на один включить и все компы из него выпускать

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение paradox » 2008-10-03 18:01:47

правила должны быть как то так
${ipfw} add 300 fwd ${comp1} from ${em1} to any ip
${ipfw} add 400 fwd ${comp2} from ${em2} to any ip
поправь и проверь

если я все правильно понял

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение schizoid » 2008-10-03 18:09:15

ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
kharkov_max
капитан
Сообщения: 1810
Зарегистрирован: 2008-10-03 14:56:40

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение kharkov_max » 2008-10-03 18:40:54

paradox писал(а):

Код: Выделить всё

Провайдер определяет компы по IP и Mac адресу.
мак адре PBR Не прокидываеться
и зачем был взят второй айпи неяно
можно было NAT на один включить и все компы из него выпускать
Я знаю что не прокидывается Mac, но пакет выйдет наружу с измененным IP и нужным мне маком.
Если IP будет 1, то не получится разделить одни ресурсы сети, для которых нужен уникальный IP и Mac адрес.
Вложения
Схема сети.jpg
Схема сети

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение paradox » 2008-10-03 18:43:59

исправь правила как я выше показал
и пробуй

Аватара пользователя
kharkov_max
капитан
Сообщения: 1810
Зарегистрирован: 2008-10-03 14:56:40

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение kharkov_max » 2008-10-03 18:46:23

schizoid писал(а):http://forum.lissyara.su/viewtopic.php? ... 25#p102566
может пригодится
Эту статью читал, для natd, ядро перекомпиляно.

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение paradox » 2008-10-03 18:48:30

Re: Помогите разобраться с NAT и PBR
paradox 2008-10-03 17:01:47

правила должны быть как то так

${ipfw} add 300 fwd ${comp1} from ${em1} to any ip
${ipfw} add 400 fwd ${comp2} from ${em2} to any ip


поправь и проверь

если я все правильно понял

Аватара пользователя
kharkov_max
капитан
Сообщения: 1810
Зарегистрирован: 2008-10-03 14:56:40

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение kharkov_max » 2008-10-05 8:32:01

Сделал так как Вы посоветовали

Код: Выделить всё

${ipfw} add 300 fwd ${comp1} from ${em1} to any ip 
${ipfw} add 400 fwd ${comp2} from ${em2} to any ip
Через firewall проходит только comp1, comp2 не ходит во внешнюю сеть.
Уточню еще ставлю freebsd 7.0
Ядро перекомпилил с такими опциями:

Код: Выделить всё

options 	IPFIREWALL 
options    	IPFIREWALL_VERBOSE
options    	IPFIREWALL_VERBOSE_LIMIT=100	
options	IPFIREWALL_FORWARD	
options    	IPFIREWALL_DEFAULT_TO_ACCEPT
options	IPDIVERT			
options	DUMMYNET	
Такое впечатление что не отрабатывает natd -a ${comp2} -p 8778
Т.е. фаервол работает просто как при включенном нате на 1 интерфейс, а мне нужно nat включить на 2х интерфейсах.
Если выключаю a фаерволе правила на comp1, то начинает нормально бегать comp2.
Последний раз редактировалось Alex Keda 2008-10-05 22:51:45, всего редактировалось 1 раз.
Причина: [code][/code] - для кого?

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение paradox » 2008-10-05 15:51:12

давай
ipfw show
со всеми правилами

nix86
проходил мимо

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение nix86 » 2008-10-05 21:15:03

kharkov_max писал(а): ${ipfw} add 100 divert 8668 ip from ${comp1} to any via ${em1}
${ipfw} add 200 divert 8778 ip from ${comp2} to any via ${em2}
Попробуй поменять на

Код: Выделить всё

${ipfw} add 100 divert 8668 ip from ${comp1} to any
${ipfw} add 200 divert 8778 ip from ${comp2} to any
и покажи

Код: Выделить всё

netstat -nr

Аватара пользователя
kharkov_max
капитан
Сообщения: 1810
Зарегистрирован: 2008-10-03 14:56:40

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение kharkov_max » 2008-10-06 7:55:12

nix86 писал(а):
kharkov_max писал(а): ${ipfw} add 100 divert 8668 ip from ${comp1} to any via ${em1}
${ipfw} add 200 divert 8778 ip from ${comp2} to any via ${em2}
Попробуй поменять на

Код: Выделить всё

${ipfw} add 100 divert 8668 ip from ${comp1} to any
${ipfw} add 200 divert 8778 ip from ${comp2} to any
А где же я тогда должен указать через какой интерфейс ходить компам.
Мне же необходимо что б они ходили через разные интерфейсы.

Как для новичка во freebsd подскажите как сохранить результаты ip show и netstat -rn в файл и выложить для вас на форум.

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение paradox » 2008-10-06 10:55:11

ipfw show > resultat

Аватара пользователя
kharkov_max
капитан
Сообщения: 1810
Зарегистрирован: 2008-10-03 14:56:40

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение kharkov_max » 2008-10-06 11:47:41

Подскажите пожалуйста т.к. две мои сетевые смотрят на одного провайдера и на один роутер, freebsd ругается.
arp. 192.168.110.250 is on em1 but got reply from ....... on em2.

Как это можно выключить ?
Комп долго грузится и т.д.

Аватара пользователя
kharkov_max
капитан
Сообщения: 1810
Зарегистрирован: 2008-10-03 14:56:40

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение kharkov_max » 2008-10-06 12:06:00

paradox писал(а):
ipfw show > resultat
00100 15290 20770470 divert 8668 ip from 192.168.10.11 to any via 192.168.110.1
00200 0 0 divert 8778 ip from 192.168.10.12 to any via 192.168.110.2
00300 0 0 fwd tablearg ip from 192.168.110.1 to 192.168.10.11
00400 0 0 fwd tablearg ip from 192.168.110.2 to 192.168.10.12
00500 10216 1194397 divert 8668 ip from any to 192.168.110.1
00600 0 0 divert 8778 ip from any to 192.168.110.2
65535 52822 44089315 allow ip from any to any

это ipwf show
а как загнать результат netstat -rn в файл ?

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение paradox » 2008-10-06 12:21:09

точно так же


а что это за tablearg ip ?
00300 0 0 fwd tablearg ip from 192.168.110.1 to 192.168.10.11
00400 0 0 fwd tablearg ip from 192.168.110.2 to 192.168.10.12
чет я не понял
что фаервол так сильно извратили ?
какая версия bsd?
${ipfw} add 300 fwd ${comp1} from ${em1} to any
${ipfw} add 400 fwd ${comp2} from ${em2} to any
поменяй в фаерволе
перегрузи комп
и покажи еще раз ipfw show

Аватара пользователя
kharkov_max
капитан
Сообщения: 1810
Зарегистрирован: 2008-10-03 14:56:40

Re: Помогите разобраться с NAT и PBR

Непрочитанное сообщение kharkov_max » 2008-10-06 12:24:08

nix86 писал(а):
kharkov_max писал(а): ${ipfw} add 100 divert 8668 ip from ${comp1} to any via ${em1}
${ipfw} add 200 divert 8778 ip from ${comp2} to any via ${em2}
Попробуй поменять на

Код: Выделить всё

${ipfw} add 100 divert 8668 ip from ${comp1} to any
${ipfw} add 200 divert 8778 ip from ${comp2} to any
и покажи

Код: Выделить всё

netstat -nr

Код: Выделить всё

Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            192.168.110.250       UGS         0    71247    em1
192.168.110.0/20    link#2             UC          0        0    em1
192.168.110.250       00:16:c8:86:70:4b  UHLW        2        0    em1   1200
192.168.110.175     00:18:37:05:d3:1a  UHLW        1       12    em1   1165
127.0.0.1          127.0.0.1          UH          0      104    lo0
192.168.10.0/24    link#1             UC          0        0    em0
192.168.10.1       00:19:db:27:f8:64  UHLW        1      167    em0   1180
192.168.10.11      00:17:31:83:f3:9a  UHLW        1    23422    em0    849

Internet6:
Destination                       Gateway                       Flags      Netif Expire
::1                               ::1                           UHL         lo0
fe80::%em1/64                     link#2                        UC          em1
fe80::64b:80ff:fe80:8044%em1      04:4b:80:80:80:44             UHL         lo0
fe80::%em2/64                     link#3                        UC          em2
fe80::21a:4dff:fe74:ad45%em2      00:1a:4d:74:ad:45             UHL         lo0
fe80::%lo0/64                     fe80::1%lo0                   U           lo0
fe80::1%lo0                       link#4                        UHL         lo0
ff01:2::/32                       link#2                        UC          em1
ff01:3::/32                       link#3                        UC          em2
ff01:4::/32                       fe80::1%lo0                   UC          lo0
ff02::%em1/32                     link#2                        UC          em1
ff02::%em2/32                     link#3                        UC          em2
ff02::%lo0/32                     fe80::1%lo0                   UC          lo0
Последний раз редактировалось zingel 2008-10-07 9:17:53, всего редактировалось 2 раза.
Причина: юзай кнопку [code][/code]