да пинг на 10.2.2.100 есть и хочу чтобы по 10.2.2.2 ходили люди к нам через mpd5 с удаленных офисов._kirill_ писал(а):так значит, у вас есть пинг на 10.2.2.100 с сервера? вы хотите чтобы удаленный офис коннектился на 10.2.2.2?Kolobrod писал(а):да есстественно что 10.1.1.1 и 10.2.2.2 подмененные айпишники внешних интерфейсов, единственное что осталось не тронутым - это адреса внутренний сетки
Просьба помочь с настройкой двух внешних интерфейсов
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
Kolobrod
- рядовой
- Сообщения: 23
- Зарегистрирован: 2008-09-28 14:29:31
Re: Просьба помочь с настройкой двух внешних интерфейсов
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
_kirill_
- ст. сержант
- Сообщения: 311
- Зарегистрирован: 2007-05-11 9:41:21
- Откуда: Tashkent
- Контактная информация:
Re: Просьба помочь с настройкой двух внешних интерфейсов
мож вам следует добавить маршрут до удаленного офиса, а не на подсеть прова?
-
Kolobrod
- рядовой
- Сообщения: 23
- Зарегистрирован: 2008-09-28 14:29:31
Re: Просьба помочь с настройкой двух внешних интерфейсов
склоняюсь к этому , завтра попробую, если пока нет других мыслей . Спасибо
-
_kirill_
- ст. сержант
- Сообщения: 311
- Зарегистрирован: 2007-05-11 9:41:21
- Откуда: Tashkent
- Контактная информация:
Re: Просьба помочь с настройкой двух внешних интерфейсов
если у вас ядро не собрано с опцией
то попробуйте собрать его с этой опцией, выше описанное правило в файерволе по идее должна исправить проблему с доступностью сервера через 2 канала, но подразумеваю что ядро у вас не собрано с этой опцией.
Код: Выделить всё
option IPFIREWALL_FORWARD
-
Kolobrod
- рядовой
- Сообщения: 23
- Зарегистрирован: 2008-09-28 14:29:31
Re: Просьба помочь с настройкой двух внешних интерфейсов
ядро собрано с опциями_kirill_ писал(а):если у вас ядро не собрано с опциейто попробуйте собрать его с этой опцией, выше описанное правило в файерволе по идее должна исправить проблему с доступностью сервера через 2 канала, но подразумеваю что ядро у вас не собрано с этой опцией.Код: Выделить всё
option IPFIREWALL_FORWARD
Код: Выделить всё
options IPFIREWALL_ENABLE
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPFIREWALL_NAT
options IPFIREWALL_FORWARD
options IPDIVERT
options DUMMYNET
options LIBALIAS
-
_kirill_
- ст. сержант
- Сообщения: 311
- Зарегистрирован: 2007-05-11 9:41:21
- Откуда: Tashkent
- Контактная информация:
Re: Просьба помочь с настройкой двух внешних интерфейсов
тогда попробуйте добавить маршрут до вашего удаленого офиса через 10.2.2.100, с удаленного сервера у вас будет пинг на 10.2.2.2, но не будет 10.1.1.1. По колдуйте с fwd, у вас будет пинг и туда и туда.
-
Kolobrod
- рядовой
- Сообщения: 23
- Зарегистрирован: 2008-09-28 14:29:31
Re: Просьба помочь с настройкой двух внешних интерфейсов
с удаленного офиса мне и не нужен пинг на подсеть 10.1.1.0 , внешняя карточка xl0 (10.1.1.1) должна обслуживать пользователей нашей внутренней сети, а 10.2.2.2 обслуживать удаленные офисы - завтра поппробую прописать маршруты у себя и у удаленных офисов_kirill_ писал(а):тогда попробуйте добавить маршрут до вашего удаленого офиса через 10.2.2.100, с удаленного сервера у вас будет пинг на 10.2.2.2, но не будет 10.1.1.1. По колдуйте с fwd, у вас будет пинг и туда и туда.
-
Kolobrod
- рядовой
- Сообщения: 23
- Зарегистрирован: 2008-09-28 14:29:31
Re: Просьба помочь с настройкой двух внешних интерфейсов
пока не нашел ни чего вразумительного по этой проблеме, физически разделил двух провайдеров на две фрюхе , на одной пользователи локальной сети, на второй через mpd5 удаленные офисы, пока так, что накопаю буду сообщать, хотя заметил что если менять шлюз по умолчанию на того прова , у которого не идет пинг, все два внешних интерфейса пингуються только в путь и таблица маршрутизации правильно ложиться. ПолтерГейтс какой-то 
-
schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация:
Re: Просьба помочь с настройкой двух внешних интерфейсов
rl0 - внутренняя сетка
sk0 - 4-х мегабитный канал (адрес по ДХЦП) - за ним ADSL-modem (pppoe)
fxp0 - 1-но мегабитный канал (статический ИП) - за ним ADSL-modem (pppoe)
ng2 - ВПН к центральному офису
что и как работает
1. имеется 2 интернет канала. 1-й с динамическим Ипом, по нему ходит офис в инет. 2-й со статическим ипом, через него ходят ИПы с таблицы 1, и НА таблицу 3 (есть некоторые диллерские сайты, которые завязаны на наш статический ИП). также есть ЦО , туда ходим на терминальный сервак.
2. есть почта и сайт (проброшены с помощью natd на 192,168,0,1 и 192,168,0,100 соответственно)
3. таблица 4 - содержит ИП с которыми можно работать по смтп (режется некоторый спам от вирей)
4. таблица 5 - понятно и так
5. таблица 6 - portsentry
6. таблица 7 - нарезка скорости. т.е. всем в сети 192,168,0,0/24 скорость не больше 1Мбит/с , кроме ИПов из таблицы 7
7. также поднят VPN-server. сотрудники из дому заходят в локальную сеть
ну собсна вроде все.
все работает.
может правда и намучено дец.
sk0 - 4-х мегабитный канал (адрес по ДХЦП) - за ним ADSL-modem (pppoe)
fxp0 - 1-но мегабитный канал (статический ИП) - за ним ADSL-modem (pppoe)
ng2 - ВПН к центральному офису
Код: Выделить всё
# ifconfig
rl0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
inet 192.168.0.150 netmask 0xffffff00 broadcast 192.168.0.255
ether 00:a0:d2:10:71:a0
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
sk0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=b<RXCSUM,TXCSUM,VLAN_MTU>
inet 192.168.30.2 netmask 0xfffffffc broadcast 192.168.30.3
ether 00:15:e9:b1:dc:c0
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=b<RXCSUM,TXCSUM,VLAN_MTU>
inet 192.168.40.2 netmask 0xfffffffc broadcast 192.168.40.3
ether 00:02:b3:99:e2:02
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
pflog0: flags=0<> mtu 33208
pfsync0: flags=0<> mtu 2020
syncpeer: 224.0.0.240 maxupd: 128
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
inet 127.0.0.1 netmask 0xff000000
ng0: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng1: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng2: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1452
inet 192.168.5.54 --> 192.168.1.254 netmask 0xffffffff
ng3: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng4: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng5: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
Код: Выделить всё
# netstat -rn
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
default 192.168.30.1 UGS 0 190800377 sk0
127.0.0.1 127.0.0.1 UH 0 320315 lo0
192.168.0 link#1 UC 0 0 rl0
192.168.0.150 00:a0:d2:10:71:a0 UHLW 1 278459 lo0
192.168.1 192.168.1.254 UGS 0 30865 ng2
192.168.1.254 192.168.5.54 UH 1 0 ng2
192.168.30/30 link#2 UC 0 0 sk0
192.168.30.1 00:19:cb:47:ce:37 UHLW 2 92599839 sk0 751
192.168.40/30 link#3 UC 0 0 fxp0
192.168.40.1 00:1b:11:e1:ea:b2 UHLW 1 1895280 fxp0 1189
Код: Выделить всё
[Ss][Ii][Mm][Pp][Ll][Ee])
# set these to your outside interface network and netmask and ip
sif="fxp0"
snet="192.168.40.0"
smask="255.255.255.252"
sip="192.168.40.2"
sgw="192.168.40.1"
dif="sk0"
dnet="192.168.30.0"
dmask="255.255.255.252"
dip="192.168.30.2"
dgw="192.168.30.1"
# set these to your inside interface network and netmask and ip
iif="rl0"
inet="192.168.0.0"
imask="255.255.255.0"
iip="192.168.0.150"
#NAT
for i in `sockstat -4l| grep nat| awk '{print $3}'`
do
kill -9 $i
done
/sbin/natd -n fxp0 -p 8669 -f /etc/natd.conf
/sbin/natd -n sk0 -p 8668
/sbin/natd -n ng2 -p 8667
################## Tables ###############################
# IP who go to out via static
${fwcmd} table 1 add 192.168.0.1
${fwcmd} table 1 add 192.168.0.40
# ${fwcmd} table 1 add 192.168.0.77
${fwcmd} table 1 add 192.168.0.100
${fwcmd} table 1 add 192.168.0.112
${fwcmd} table 1 add 192.168.0.113
# Local network
${fwcmd} table 2 add 192.168.0.0/24
# Diller's site
${fwcmd} table 3 add 212.82.хх.хх
${fwcmd} table 3 add 213.186.хх.хх
${fwcmd} table 3 add 212.109.хх.хх
# Allow smtp servers
${fwcmd} table 4 add 80.78.хх.хх
${fwcmd} table 4 add 212.86.хх.хх
# RFC1918
${fwcmd} table 5 add 10.0.0.0/8
${fwcmd} table 5 add 172.16.0.0/12
${fwcmd} table 5 add 0.0.0.0/8
${fwcmd} table 5 add 169.254.0.0/16
${fwcmd} table 5 add 192.0.2.0/24
${fwcmd} table 5 add 224.0.0.0/4
${fwcmd} table 5 add 240.0.0.0/4
# Portsentry
for p in `cat /usr/local/etc/portsentry.history | awk '{print $6}'| awk -F / '{print $2}'|sort| uniq`
do
${fwcmd} table 6 add $p
done
# No limit speed on pipe's
${fwcmd} table 7 add 192.168.0.77
setup_loopback
# Count for MRTG
${fwcmd} add count ip from any to any in recv fxp0
${fwcmd} add count ip from any to any out xmit fxp0
${fwcmd} add count ip from any to any in recv sk0
${fwcmd} add count ip from any to any out xmit sk0
${fwcmd} add count ip from any to any in recv rl0
${fwcmd} add count ip from any to any out xmit rl0
################## DENY ###########################
# ${fwcmd} add check-state
# Deny frag pacets
${fwcmd} add deny log all from any to any frag
# Portsentry block
${fwcmd} add deny log all from 'table(6)' to any
# Stop spoofing
${fwcmd} add deny log all from ${inet}:${imask} to any in via ${sif}, ${dif}
# ${fwcmd} add deny log all from ${inet}:${imask} to any in via ${dif}
${fwcmd} add deny log all from ${snet}:${smask}, ${dnet}:${dmask} to any in via ${iif}
# ${fwcmd} add deny log all from ${snet}:${smask} to any in via ${iif}
# ${fwcmd} add deny log all from ${dnet}:${dmask} to any in via ${iif}
# Stop RFC1918 nets on the outside interface
${fwcmd} add deny log all from any to 'table(5)' via ${sif}, ${dif}
# ${fwcmd} add deny log all from any to 'table(5)' via ${dif}
# ${fwcmd} add deny log all from any to 192.168.0.0/16 via ${sif}
# ${fwcmd} add deny log all from any to 192.168.0.0/16 via ${dif}
${fwcmd} add deny log ip from ${inet}:${imask} to ${inet}:${imask} via ${sif}, ${dif}
# ${fwcmd} add deny log ip from ${inet}:${imask} to ${inet}:${imask} via ${dif}
# For scanners of OS detecting
# ${fwcmd} add deny log tcp from any to me in tcpflags syn,fin,\!ack
# ${fwcmd} add deny log tcp from any to me in tcpflags syn,fin,urg,psh,\!ack
# ${fwcmd} add deny log tcp from any to me in tcpflags fin,urg,psh,\!ack
# ${fwcmd} add deny log tcp from any to me in tcpflags fin,\!ack
# ${fwcmd} add deny log tcp from any to me in tcpflags urg,\!ack
# ${fwcmd} add deny log tcp from any to me in tcpflags psh,\!ack
# Deny all output mail
${fwcmd} add deny log tcp from ${inet}:${imask}{2-254} to not 'table(4)' 25 { via ${sif} or via ${dif} }
# Deny VPN to Kiev from any, but pass from gate
${fwcmd} add deny log tcp from ${inet}:${imask} to 80.78.хх.хх 1723
######################### ALLOW ############################
${fwcmd} add allow ip from ${inet}:${imask} to ${inet}:${imask} via ${iif}
${fwcmd} add allow ip from ${inet}:${imask} to ${inet}:${imask} via ng*
${fwcmd} add allow log icmp from ${inet}:${imask} to any in via ${iif}
# Pipe's
# All from local network <= 1Mbit/s
${fwcmd} pipe 10 config mask src-ip 0x000000ff bw 1Mbit/s queue 100Kbytes
${fwcmd} pipe 20 config mask dst-ip 0x000000ff bw 1Mbit/s queue 100Kbytes
${fwcmd} add pipe 10 ip from not 'table(7)' to any in via ${iif}
${fwcmd} add pipe 20 ip from any to not 'table(7)' out via ${iif}
# NAT
${fwcmd} add divert 8667 ip from 'table(2)' to 192.168.1.0/24
${fwcmd} add divert 8669 ip from 'table(1)' to any
${fwcmd} add divert 8669 ip from 'table(2)' to 'table(3)'
${fwcmd} add divert 8668 ip from 'table(2)' to any
${fwcmd} add fwd ${sgw} tcp from any to 'table(3)'
${fwcmd} add fwd ${dgw} ip from ${dip} to any
${fwcmd} add fwd ${sgw} ip from ${sip} to any
${fwcmd} add divert 8667 ip from any to 192.168.5.54
${fwcmd} add divert 8668 ip from any to ${dip}
${fwcmd} add divert 8669 ip from any to ${sip}
${fwcmd} add check-state
# Allow gre
${fwcmd} add allow gre from any to any
# Stop RFC1918 nets on the outside interface
${fwcmd} add deny log all from 'table(5)' to any via ${sif}, ${dif}
# ${fwcmd} add deny log all from 'table(5)' to any via ${dif}
# ${fwcmd} add deny log all from 192.168.0.0/16 to any via ${sif}
# ${fwcmd} add deny log all from 192.168.0.0/16 to any via ${dif}
# Allow TCP through if setup succeeded
${fwcmd} add pass tcp from any to any established
# Allow IP fragments to pass through
# ${fwcmd} add pass all from any to any frag
# Allow all traffic from server to any
${fwcmd} add allow ip from ${sip} to any out xmit ${sif}
${fwcmd} add allow ip from ${dip} to any out xmit ${dif}
# Allow setup of incoming email
${fwcmd} add pass tcp from any to 192.168.0.1 25 in via ${sif} setup
${fwcmd} add pass tcp from any to 192.168.0.1 110 in via ${sif} setup
# Allow POP3
${fwcmd} add pass tcp from any to ${sip} 110 setup
# Allow access to our DNS
${fwcmd} add pass tcp from any to ${iip} 53 setup
${fwcmd} add pass udp from any to ${iip} 53
${fwcmd} add pass udp from ${sip} to any 53
${fwcmd} add pass udp from ${dip} to any 53
${fwcmd} add pass udp from ${iip} to ${inet}:${imask}
${fwcmd} add pass udp from any to any 53
${fwcmd} add pass udp from any 53 to any
# Allow access to our WWW
${fwcmd} add pass tcp from any to 192.168.0.100 80 in via ${sif} setup
# Allow to me ssh
${fwcmd} add pass tcp from any to ${sip} 1022 keep-state
# Allow to me pptp
${fwcmd} add pass tcp from any to ${sip} 1723 keep-state
# Allow to me rdp
# ${fwcmd} add pass log tcp from any to 192.168.0.40 3389 keep-state
# Allow radmin to buh1
${fwcmd} add pass tcp from any to 192.168.0.113 4899 in via ${sif} setup
# Reject&Log all setup of incoming connections from the outside
# ${fwcmd} add deny log tcp from any to any in via ${sif} setup
# ${fwcmd} add deny log tcp from any to any in via ${dif} setup
# Allow setup of any other TCP connection
# ${fwcmd} add pass tcp from any to any setup
# NTP
${fwcmd} add pass udp from any to any 123 via ${sif}, ${dif}
# ${fwcmd} add pass udp from any to any 123 via ${dif}
# Portsentry allow
${fwcmd} add allow tcp from any to ${sip} 1,11,15,22,79,111,119,143,540,635,1524,2000,5742,6667,12345,12346,20034,27665,31337,32771,32772,32773,32774,40421,49724,54320 in via ${sif}
${fwcmd} add allow tcp from any to ${dip} 1,11,15,22,79,111,119,143,540,635,1524,2000,5742,6667,12345,12346,20034,27665,31337,32771,32772,32773,32774,40421,49724,54320 in via ${dif}
${fwcmd} add allow udp from any to ${sip} 1,7,9,162,513,635,640,641,700,37444,34555,31335,32770,32771,32772,32773,32774,31337,54321 in via ${sif}
${fwcmd} add allow udp from any to ${dip} 1,7,9,162,513,635,640,641,700,37444,34555,31335,32770,32771,32772,32773,32774,31337,54321 in via ${dif}
# Everything else is denied by default, unless the
# IPFIREWALL_DEFAULT_TO_ACCEPT option is set in your kernel
# config file.
${fwcmd} add allow all from any to any via ${iif} keep-state
# VPN to Kiev
${fwcmd} add allow ip from 192.168.0.0/24 to 192.168.1.0/24 via ng* keep-state
${fwcmd} add allow all from any to any via ng2 keep-state
# ${fwcmd} add allow all from any to any out via ${sif}
# ${fwcmd} add allow all from any to any out via ${dif}
${fwcmd} add allow icmp from any to any icmptype 0,3,4,8,11,12
${fwcmd} add deny log ip from any to any
;;
Код: Выделить всё
# ipfw show
00100 1197004 150756644 allow ip from any to any via lo0
00200 6 377 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
00400 2309685 1466710101 count ip from any to any in recv fxp0
00500 2171 165008 count ip from any to any out xmit fxp0
00600 85537863 62274938318 count ip from any to any in recv sk0
00700 94383493 42266097730 count ip from any to any out xmit sk0
00800 94674059 42505044232 count ip from any to any in recv rl0
00900 87887836 63995113504 count ip from any to any out xmit rl0
01000 2273 776190 deny log logamount 1000 ip from any to any frag
01100 253 12767 deny log logamount 1000 ip from table(6) to any
01200 0 0 deny log logamount 1000 ip from 192.168.0.0/24 to any in via fxp0
01300 0 0 deny log logamount 1000 ip from 192.168.0.0/24 to any in via sk0
01350 0 0 deny log logamount 1000 ip from 192.168.0.0/24 to any in via sk0,fxp0
01351 0 0 deny log logamount 1000 ip from 192.168.40.0/30,192.168.30.0/30 to any in via rl0
01400 0 0 deny log logamount 1000 ip from 192.168.40.0/30 to any in via rl0
01500 0 0 deny log logamount 1000 ip from 192.168.30.0/30 to any in via rl0
01600 6215 177503 deny log logamount 1000 ip from any to table(5) via fxp0
01700 12303 753657 deny log logamount 1000 ip from any to table(5) via sk0
01800 0 0 deny log logamount 1000 ip from 192.168.0.0/24 to 192.168.0.0/24 via fxp0
01900 0 0 deny log logamount 1000 ip from 192.168.0.0/24 to 192.168.0.0/24 via sk0
02000 20002 969276 deny log logamount 1000 tcp from 192.168.0.0/24{2-254} to not table(4) dst-port 25 { via fxp0 or via sk0 }
02100 6 304 deny log logamount 1000 tcp from 192.168.0.0/24 to 80.78.38.126 dst-port 1723
02200 2118480 576530075 allow ip from 192.168.0.0/24 to 192.168.0.0/24 via rl0
02300 186141 27907541 allow ip from 192.168.0.0/24 to 192.168.0.0/24 via ng*
02400 645 49317 allow log logamount 1000 icmp from 192.168.0.0/24 to any in via rl0
02410 2443461 971673942 pipe 10 log logamount 1000 ip from not table(7) to any in via rl0
02420 2397261 1706497685 pipe 20 log logamount 1000 ip from any to not table(7) out via rl0
02500 884868 58935911 divert 8667 ip from table(2) to 192.168.1.0/24
02600 2327208 924446896 divert 8669 ip from table(1) to any
02700 488436 63829424 divert 8669 ip from table(2) to table(3)
02800 184803685 83964412438 divert 8668 ip from table(2) to any
02900 486151 64300863 fwd 192.168.40.1 tcp from any to table(3)
03000 92433151 41707816032 fwd 192.168.30.1 ip from 192.168.30.2 to any
03100 1642198 522674734 fwd 192.168.40.1 ip from 192.168.40.2 to any
03200 512006 96498790 divert 8667 ip from any to 192.168.5.54
03300 85529369 62274012872 divert 8668 ip from any to 192.168.30.2
03400 2303185 1466493991 divert 8669 ip from any to 192.168.40.2
03500 0 0 check-state
03600 963587 154553392 allow gre from any to any
03700 6 336 deny log logamount 1000 ip from table(5) to any via fxp0
03800 477 29399 deny log logamount 1000 ip from table(5) to any via sk0
03900 1900081 352373995 allow tcp from any to any established
04000 0 0 allow ip from 192.168.40.2 to any out xmit fxp0
04100 0 0 allow ip from 192.168.30.2 to any out xmit sk0
04200 7373 395984 allow tcp from any to 192.168.0.1 dst-port 25 in via fxp0 setup
04300 1867 89680 allow tcp from any to 192.168.0.1 dst-port 110 in via fxp0 setup
04400 0 0 allow tcp from any to 192.168.40.2 dst-port 110 setup
04500 0 0 allow tcp from any to 192.168.0.150 dst-port 53 setup
04600 491 30479 allow udp from any to 192.168.0.150 dst-port 53
04700 0 0 allow udp from 192.168.40.2 to any dst-port 53
04800 0 0 allow udp from 192.168.30.2 to any dst-port 53
04900 0 0 allow udp from 192.168.0.150 to 192.168.0.0/24
05000 39760 2805256 allow udp from any to any dst-port 53
05100 210994 49337464 allow udp from any 53 to any
05200 24712 1291468 allow tcp from any to 192.168.0.100 dst-port 80 in via fxp0 setup
05300 721 56815 allow tcp from any to 192.168.40.2 dst-port 1022 keep-state
05400 176 20348 allow tcp from any to 192.168.40.2 dst-port 1723 keep-state
05500 5 248 allow tcp from any to 192.168.0.113 dst-port 4899 in via fxp0 setup
05600 2165 164540 allow udp from any to any dst-port 123 via fxp0
05700 2297 174572 allow udp from any to any dst-port 123 via sk0
05800 30 1672 allow tcp from any to 192.168.40.2 dst-port 1,11,15,22,79,111,119,143,540,635,1524,2000,5742,6667,12345,12346,20034,27665,31337,32771,32772,32773,32774,40421,49724,54320 in via fxp0
05900 0 0 allow tcp from any to 192.168.30.2 dst-port 1,11,15,22,79,111,119,143,540,635,1524,2000,5742,6667,12345,12346,20034,27665,31337,32771,32772,32773,32774,40421,49724,54320 in via sk0
06000 0 0 allow udp from any to 192.168.40.2 dst-port 1,7,9,162,513,635,640,641,700,37444,34555,31335,32770,32771,32772,32773,32774,31337,54321 in via fxp0
06100 0 0 allow udp from any to 192.168.30.2 dst-port 1,7,9,162,513,635,640,641,700,37444,34555,31335,32770,32771,32772,32773,32774,31337,54321 in via sk0
06200 265314416 168879662468 allow ip from any to any via rl0 keep-state
06300 240234 51654514 allow ip from 192.168.0.0/24 to 192.168.1.0/24 via ng* keep-state
06400 28294 2144280 allow ip from any to any via ng2 keep-state
06500 229962 20943885 allow icmp from any to any icmptypes 0,3,4,8,11,12
06600 117184 14041954 deny log logamount 1000 ip from any to any
65535 79 4968 deny ip from any to any
Код: Выделить всё
# cat /etc/natd.conf
log yes
log_denied yes
same_ports yes
use_sockets yes
unregistered_only yes
dynamic yes
#interface fxp0
redirect_port tcp 192.168.0.100:80 80
redirect_port tcp 192.168.0.1:25 25
redirect_port tcp 192.168.0.1:110 110
redirect_port tcp 192.168.0.113:4899 4899
redirect_port tcp 192.168.0.40:3389 3389
Код: Выделить всё
# ps -aux| grep natd
root 727 7,9 1,2 2268 1424 ?? Ss 22сен08 651:34,84 /sbin/natd -n sk0 -p 8668
root 725 0,0 0,3 1584 416 ?? Ss 22сен08 13:05,33 /sbin/natd -n fxp0 -p 8669 -f /etc/natd.conf
root 61456 0,0 0,3 1492 336 ?? Ss 23сен08 4:50,64 /sbin/natd -n ng2 -p 8667
Код: Выделить всё
# sysctl net.inet.ip.fw.one_pass
net.inet.ip.fw.one_pass: 01. имеется 2 интернет канала. 1-й с динамическим Ипом, по нему ходит офис в инет. 2-й со статическим ипом, через него ходят ИПы с таблицы 1, и НА таблицу 3 (есть некоторые диллерские сайты, которые завязаны на наш статический ИП). также есть ЦО , туда ходим на терминальный сервак.
2. есть почта и сайт (проброшены с помощью natd на 192,168,0,1 и 192,168,0,100 соответственно)
3. таблица 4 - содержит ИП с которыми можно работать по смтп (режется некоторый спам от вирей)
4. таблица 5 - понятно и так
5. таблица 6 - portsentry
6. таблица 7 - нарезка скорости. т.е. всем в сети 192,168,0,0/24 скорость не больше 1Мбит/с , кроме ИПов из таблицы 7
7. также поднят VPN-server. сотрудники из дому заходят в локальную сеть
ну собсна вроде все.
все работает.
может правда и намучено дец.
ядерный взрыв...смертельно красиво...жаль, что не вечно...
-
Kolobrod
- рядовой
- Сообщения: 23
- Зарегистрирован: 2008-09-28 14:29:31
Re: Просьба помочь с настройкой двух внешних интерфейсов
спасибо, буду разбираться