ipfw + 2 канала + доступ извне

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Orcus
проходил мимо
Сообщения: 6
Зарегистрирован: 2009-04-06 3:16:45

ipfw + 2 канала + доступ извне

Непрочитанное сообщение Orcus » 2009-04-06 4:02:18

Добрый день.
Что имеем:
re0 - со статическим адресом, но дорогой, по траффику
ng0 - анлим с динамическим адресом.
Из локалы ходят наружу по анлиму, второй канал в основном для удобства захода на сервак + апача.
Задача:
Добавить возможность обращения к веб-серверу через интерфейс ng0
Вопросы:
Как файру дать понять, на какой интерфейс отправить исходящий поток с 80 порта?
т.е. при обращении на domen1.ru чтобы общение шло по анлиму, а при обращении на domen2.ru по лимитке.
netw.JPG
netw.JPG (22.73 КБ) 612 просмотров
Последний раз редактировалось Orcus 2009-04-06 6:20:58, всего редактировалось 2 раза.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
RusBiT
лейтенант
Сообщения: 635
Зарегистрирован: 2007-08-03 11:43:53
Откуда: Красноярск
Контактная информация:

Re: ipfw + 2 канала + доступ извне

Непрочитанное сообщение RusBiT » 2009-04-06 5:38:04

Картинку нарисуйте, несовсем понятно.
Чем больше я познаю FreeBSD, тем больше я считаю себя ламером :)

Аватара пользователя
skeletor
майор
Сообщения: 2496
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: ipfw + 2 канала + доступ извне

Непрочитанное сообщение skeletor » 2009-04-06 9:20:11

Не указан файервол. Приведу код на ipfw

Код: Выделить всё

add 101 allow all from $local-net to domen1.ru 80 via ng0
add 102 deny all from $local-net to domen1.ru 80
add 201 allow all from $local-net to domen2.ru 80 via re0
add 202 deny all from $local-net to domen2.ru 80
Вот так оно выглядит на pf

Код: Выделить всё

pass quick proto tcp from $local-net to domen1.ru 80 via ng0
block quick proto tcp from $local-net to domen1.ru 80
pass quick proto tcp from $local-net to domen2.ru 80 via re0
block quick proto tcp from $local-net to domen2.ru 80
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

Orcus
проходил мимо
Сообщения: 6
Зарегистрирован: 2009-04-06 3:16:45

Re: ipfw + 2 канала + доступ извне

Непрочитанное сообщение Orcus » 2009-04-06 9:53:36

Файрвол указан в заголовке темы.
Нужно сделать доступ извне на два интерфейса (входящий), а не из локалы наружу.

Код: Выделить всё

# Открываем вход на наш 80 порт
#domen1.ru
add 101 allow all from any to me 80 in via ng0 setup
add 102 allow all from any to me 80 in via ng0 established
#domen2.ru
add 201 allow all from any to me 80 in via re0 setup
add 202 allow all from any to me 80 in via re0 established

#А здесь нужно вернуть out трафик через нужный интерфейс
add 300 fwd xx.xx.xx.xx all from me 80 to any out ...
add deny all from any to any
Как указать через какой интерфейс отдавать? recv пробовал, не вернул

Аватара пользователя
skeletor
майор
Сообщения: 2496
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: ipfw + 2 канала + доступ извне

Непрочитанное сообщение skeletor » 2009-04-06 10:17:29

А пакет через интерфейс пришёл, через такой и уйдёт.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

Orcus
проходил мимо
Сообщения: 6
Зарегистрирован: 2009-04-06 3:16:45

Re: ipfw + 2 канала + доступ извне

Непрочитанное сообщение Orcus » 2009-04-06 13:55:03

А как быть, если исходящий поток нужно форвардить? Если для ng0 все идет по маршруту по-умолчанию, то для re0 нужно отправлять самому

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: ipfw + 2 канала + доступ извне

Непрочитанное сообщение terminus » 2009-04-06 14:30:22

Версия фришки какая у вас? В 7.1 появились множественные таблицы маршрутизации (fib). Через ipfw setfib можно указывать какой трафик через какой default route слать наружу.

http://www.freebsd.org/cgi/man.cgi?quer ... ormat=html

http://www.freebsd.org/cgi/man.cgi?quer ... ormat=html

Код: Выделить всё

     setfib fibnum
	     The packet is tagged so as to use the FIB (routing table) fibnum
	     in any subsequent forwarding decisions. Initially this is limited
	     to the values  0 through 15. See setfib(8).  Processing continues
	     at the next rule.
Я не уверен в решении, но кажется так можно будет разделить уходящий наружу трафик между интерфейсами.
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Orcus
проходил мимо
Сообщения: 6
Зарегистрирован: 2009-04-06 3:16:45

Re: ipfw + 2 канала + доступ извне

Непрочитанное сообщение Orcus » 2009-04-06 15:07:42

На тестовом - фряшка 7.1, на рабочем 7.0. Спасибо, покопаю в этом направлении.