Прошу помочь победить избитое, но так и не побежденное мной.
Что есть:
Код: Выделить всё
shluz# uname -a
FreeBSD shluz 8.0-CURRENT FreeBSD 8.0-CURRENT #6: Thu Apr 16 13:29:41 MSD 2009
Что надо :
Разделить трафик: часть сети должны идти в Инет через одного провайдера, часть через другого.
После долгого общения с search-инженерией и перепробования кучи вариантов, родилось что-то ... частично работающее, но не удовлетворяющее меня
И так, что получилось:
rl0 - 1.1.1.2 (1.1.1.1 gateway) 1 ISP
rl2 - 2.2.2.2 (2.2.2.1 gateway) 2 ISP
rl1 - 192.168.10.0/24 local
В rc.conf дефолтным стоит 1 ISP
Нат поднят так:
Код: Выделить всё
shluz# cat /etc/natd.conf
log
instance default
interface rl0
port 8668
instance rl2
interface rl2
port 8669
Код: Выделить всё
shluz# ipfw list
00005 deny tcp from any to any dst-port 135
00006 deny tcp from any to any dst-port 137
00007 deny tcp from any to any dst-port 139 via rl0
00008 deny udp from any to any dst-port 135
00009 deny udp from any to any dst-port 137
00010 deny udp from any to any dst-port 139 via rl0
00011 deny tcp from any to any dst-port 445 via rl0
00012 deny udp from any to any dst-port 445 via rl0
00013 deny tcp from any to any dst-port 1433
00014 deny udp from any to any dst-port 1433
00020 deny tcp from any to any dst-port 25 via rl1
00050 fwd 1.1.1.1 ip from 1.1.1.2 to not 192.168.10.0/24
00051 fwd 2.2.2.1 ip from 2.2.2.1 to not 192.168.10.0/24
00060 deny ip from table(0) to me dst-port 22
00100 allow ip from any to any via lo0
00100 allow ip from any to any via lo0
00110 deny ip from any to 127.0.0.0/8
00120 deny ip from 127.0.0.0/8 to any
00130 divert 8669 ip from table(1) to any
00131 fwd 1.1.1.1 ip from 1.1.1.2 to any
00132 divert 8669 ip from any to 1.1.1.2
00133 divert 8668 ip from any to any
00134 fwd 2.2.2.1 ip from 2.2.2.2 to any
00135 divert 8668 ip from any to 2.2.2.2
00150 allow tcp from me to any setup keep-state
00155 allow udp from me to any keep-state
00156 allow ip from me to any
00157 allow ip from any to me
00160 allow icmp from any to any
00200 deny ip from any to 127.0.0.0/8
00254 allow ip from any to any via tun0
00255 allow gre from any to any
00256 allow udp from any to any dst-port 1194
00257 allow ip from 10.8.0.0/24 to 192.168.10.0/24 out via rl1
00258 allow ip from 192.168.10.0/24 to 10.8.0.0/24 out via rl1
00300 deny ip from 127.0.0.0/8 to any
01002 allow ip from 192.168.10.2 to any
01002 allow ip from any to 192.168.10.2
...............
65000 deny log logamount 10 ip from any to any
65535 deny ip from any to any
Хорошо, но не хорошо. Нужно завести еще и squid transparent. А тут-то и не выходит каменный цветок .... После запуска сквида никто не может выйти ....
(В конфиге сквида прописал tcp_outgoing_address-а).
И еще - перестал работать openvpn на rl1. Вернее он работает, коннектится,но я не вижу локальную сеть.
Вывод - накосячил с правилами ipfw. Но где?
Не дайте дожить до конца света неудовлетворенным! Удовлетворите меня