Разделить интернет

[tatarin]

Всем доброе время суток . Нужна помощь я в unix новичок. От директора поступила тех. задание. Подключить еще один интернет канал (сейчас подключен интернет канал на котором все сидят) и раздавать его определённым пользователям (все пользователи в одной сети и изменять это нельзя). Есть FreeBSD (настроенная до меня) как шлюз на ней стоит ipfw, squid, apache, mysql, sams. Какие правила мне нужно прописать в ipfwи да и вообще что за чем и в каком порядке выполнять.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[vintovkin]

резервный канал чтоле вам нужен?

[tatarin]

нет не резервный. эти оба канала так сказать будут активными. грубо говоря есть общий канал на нём сидят все. будет еще один канал на котором будут сидеть только аналитики. аналитикам нужна сеть со всеми остальными.

[друг]

нет не резервный. эти оба канала так сказать будут активными. грубо говоря есть общий канал на нём сидят все. будет еще один канал на котором будут сидеть только аналитики. аналитикам нужна сеть со всеми остальными.

vlan отдельный нельзя дать аналитикам?

в цисках это можно реализовать через PBR, на фре тоже
http://www.lissyara.su/articles/freebsd ... d_routing/

гуглите freebsd pbr ipfw

[baton4eg]

Всем доброе время суток . Нужна помощь я в unix новичок. От директора поступила тех. задание. Подключить еще один интернет канал (сейчас подключен интернет канал на котором все сидят) и раздавать его определённым пользователям (все пользователи в одной сети и изменять это нельзя). Есть FreeBSD (настроенная до меня) как шлюз на ней стоит ipfw, squid, apache, mysql, sams. Какие правила мне нужно прописать в ipfwи да и вообще что за чем и в каком порядке выполнять.

Допустим аналитик1 у него IP 192.168.0.150; аналитик2 у него IP 192.168.0.151
Смотрим в сторону setfib (Множественные таблицы маршрутизации в FreeBSD).
1) Ищем в инете как пересобрать ядро для поддержки данной фичи.
2) Подключаем новый канал к серверу, добавляем маршрут по умолчанию нового канала в setfib 1
3) Дальше либо:
a) Если не использовать SQUID, можно аналитиков выпускать в инет с помощью одной команды:
ipfw add 10 setfib 1 ip from 192.168.0.150,192.168.0.151 to any via rl0
b) Если использовать SQUID, то можно поднять вторую копию через переменную setfib 1 (либо через rc.conf, либо напрямую setfib 1 squid -D)
4) На новом интерфейсе (новый канал) должен быть поднят NAT.

[tatarin]

Допустим аналитик1 у него IP 192.168.0.150; аналитик2 у него IP 192.168.0.151
Смотрим в сторону setfib (Множественные таблицы маршрутизации в FreeBSD).
1) Ищем в инете как пересобрать ядро для поддержки данной фичи.
2) Подключаем новый канал к серверу, добавляем маршрут по умолчанию нового канала в setfib 1
3) Дальше либо:
a) Если не использовать SQUID, можно аналитиков выпускать в инет с помощью одной команды:
ipfw add 10 setfib 1 ip from 192.168.0.150,192.168.0.151 to any via rl0
b) Если использовать SQUID, то можно поднять вторую копию через переменную setfib 1 (либо через rc.conf, либо напрямую setfib 1 squid -D)
4) На новом интерфейсе (новый канал) должен быть поднят NAT.

2) В setfib 1 я добавляю новый канал и диапазон ip у которых будет 2-ой канал?
3) То есть я напрямую через setfib 1 squid -D копирую конфигурацию squid вношу туда изменения и всё (как быть с samsом)
4) Интернет будет приходить физически через одну сетевушку (один vlan) просто будут разные ip

[baton4eg]

2) В setfib 1 я добавляю новый канал и диапазон ip у которых будет 2-ой канал?
3) То есть я напрямую через setfib 1 squid -D копирую конфигурацию squid вношу туда изменения и всё (как быть с samsом)
4) Интернет будет приходить физически через одну сетевушку (один vlan) просто будут разные ip[/quote]

2) В setfib 1 я добавляю новый канал и диапазон ip у которых будет 2-ой канал?
В setfib 1 добавляем шлюз по умолчанию второго канала

Пример:
Канал1: Шлюз по умолчанию 10.0.0.1 через VLAN-2 вам провайдер выдал 10.0.0.2
Канал2: Шлюз по умолчанию 172.16.0.1 через VLAN-3 вам провайдер выдал 172.16.0.2
Физический интерфейс к провайдеру пусть будет em0
Файл /etc/rc.conf примерно должен выглядеть так:

defaultrouter="10.0.0.1"
gateway_enable="YES"
ifconfig_em0="up"
ifconfig_vlan2="inet 10.0.0.2/24 vlan 2 vlandev em0"
ifconfig_vlan3="inet 172.16.0.2/24 vlan 3 vlandev em0"
setfib1_enable="YES"
setfib1_defaultroute="172.16.0.1"
#squid_fib=1

В итоге если посмотрим таблицы маршрутизации, увидим что у нас есть две таблицы с разными шлюзами по умолчанию. Если трафик идёт через setfib 0 значит через Канал1, если через setfib 1, то Канал2

root> setfib 0 netstat -rn | grep default
default 10.0.0.1 UGS 0 18311 vlan2
root> setfib 1 netstat -rn | grep default
default 172.16.0.1 UGS 0 18311 vlan3

3) То есть я напрямую через setfib 1 squid -D копирую конфигурацию squid вношу туда изменения и всё (как быть с samsом)
Пример запуска второй копии сквида (Пусть он весит на внешнем ip интерфейса Канала2 - 172.16.0.2)
root> setfib 1 тут команда запуска сквида и указываем альтернативный конфиг (где у нас должен быть IP второго канала)

Аналитикам прописываем 172.16.0.2 и они идут через второй канал. Если прописать 10.0.0.2 то через первый канал.
Всё это можно оформить через rc.conf (Гуглим - запуск второй копии через setfib и т.п (squid_fib=1))

4) Интернет будет приходить физически через одну сетевушку (один vlan) просто будут разные ip[/quote]
Пример немного другой привёл, но всё почти тоже самое.