Настройка резервного канала

[tomD]

Помогите, плиз, с настройкой резервного канала.

1. Мне нужно поднять nat на втором внешнем интерфейсе - вот здесь затык. Читаю форумы и вижу только, что советуют запускать два процесса natd.

В rc.conf у меня

Код: Выделить всё

natd_enable="YES"
natd_interface="bge1"
natd_flags="-f /etc/natd.conf"
firewall_enable="YES"           
firewall_script="/etc/rc.firewall" 
firewall_type="simple"            
firewall_quiet="NO"             
firewall_logging="YES"           
firewall_flags=""               

В /etc/rc.firewall есть следующее, что касается nat

Код: Выделить всё

case ${firewall_type} in
[Oo][Pp][Ee][Nn]|[Cc][Ll][Ii][Ee][Nn][Tt])
	case ${natd_enable} in
	[Yy][Ee][Ss])
		if [ -n "${natd_interface}" ]; then
			${fwcmd} add 50 divert natd all from any to any via ${natd_interface}
		fi
		;;
	esac
esac

...

case ${natd_enable} in
	[Yy][Ee][Ss])
		if [ -n "${natd_interface}" ]; then
			${fwcmd} add divert natd all from any to any via ${natd_interface}
		fi
		;;
	esac

Вот, собственно, это и наталкивает на мысль, что можно каким-то образом, когда ляжет один канал, поднимать нат на другом канале переопределяя natd_interface. То есть делать это в том же скрипте, в каком и происходит автоматическое переключение гейтвея. Вот в этом и вопрос, как в скрипте переопределять natd_interface ?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[dmtr]

запускать два процесса natd

чем не устраивает? вполне рабочий вариант

[tomD]

запускать два процесса natd

чем не устраивает? вполне рабочий вариант

Тогда придется менять и правила ipfw в rc.firewall, то есть стирать те условные конструкции (но зачем они так записаны, эти конструкции, ведь неспроста?) или же к этим конструкциям дополнительно явно прописывать правила для второго внешнего интерфейса + делать изменения в файле /usr/local/etc/rc.d/natd.

Ок, если я решу запускать два процесса, то мне получается лучше эти условные конструкции вообще стереть и написать вместо них

Код: Выделить всё

${fwcmd} add divert natd all from any to any via bge1
${fwcmd} add divert natd all from any to any via bge0

Так будет тогда нормально работать?

[dmtr]

в этом случае второй natd вешается на другой порт. Будет что-то типа

Код: Выделить всё

${fwcmd} add divert 8669 all from any to any via bge1
${fwcmd} add divert 8668 all from any to any via bge0

[tomD]

Спасибо, а как лучше поступать с правилами

Код: Выделить всё

	oif="bge1"
	onet="хх.хх.хх.хх"
	omask="хх.хх.хх.хх"
	oip="хх.хх.хх.хх"

	${fwcmd} add 00010 deny all from ${inet}:${imask} to any in via ${oif}
	${fwcmd} add 00010 deny all from ${onet}:${omask} to any in via ${iif}
....

Их просто лучше продублировать для второго внешнего интерфейса с переназванием переменных:

Код: Выделить всё

        oif0="bge0"
	onet0="хх.хх.хх.хх"
	omask0="хх.хх.хх.хх"
	oip0="хх.хх.хх.хх"
        ${fwcmd} add 00010 deny all from ${inet}:${imask} to any in via ${oif0}
	${fwcmd} add 00010 deny all from ${onet0}:${omask0} to any in via ${iif}

....

Или же как-то эти правила автоматически переопределять ?

[dmtr]

я дублирую