ipnat и работа с ним.

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
QweЯty
лейтенант
Сообщения: 790
Зарегистрирован: 2010-10-12 0:15:15
Откуда: Таганрог, Калининград
Контактная информация:

ipnat и работа с ним.

Непрочитанное сообщение QweЯty » 2011-04-10 11:38:56

есть

Код: Выделить всё

# cat /etc/ipnat.rules
map stge0 192.168.150.0/24 -> 192.168.5.224/32
map stge0 192.168.160.0/24 -> 192.168.5.224/32
map stge0 192.168.170.0/24 -> 192.168.5.224/32
map stge0 192.168.180.0/24 -> 192.168.5.224/32
map rl1 192.168.192.0/24 -> 192.168.1.224/32

Код: Выделить всё

defaultrouter 192.168.1.2
из подсетей 150/160/170/180 пингуется шлюз 192.168.5.1 и не пингуется 192.168.1.2
из подсети 190 пингуется 192.168.1.2 и не пингуется 192.168.5.1
так и должно быть...
но почему при попытке выйти в инет...
тот же самый "ping mail.ru" показывает полный нуль...

попытка рестарта:

Код: Выделить всё

# /etc/rc.d/ipnat restart
37 entries flushed from NAT table
6 entries flushed from NAT list
Installing NAT rules.
0 entries flushed from NAT table
0 entries flushed from NAT list
7:ioctl(add/insert nat rule): File exists
при этом всем. эти же правила отлично работают на другой машине(ip только другие)
в чем может дело быть?
и что такое 7:ioctl(add/insert nat rule): File exists, на другой машине ничего подобного нету
Инженер не смотрит порно. Он ведет расчет бабы на усталость © Федор Сумкин
Изображение

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35126
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ipnat и работа с ним.

Непрочитанное сообщение Alex Keda » 2011-04-10 19:59:47

значит правило уже есть
Убей их всех! Бог потом рассортирует...

Аватара пользователя
QweЯty
лейтенант
Сообщения: 790
Зарегистрирован: 2010-10-12 0:15:15
Откуда: Таганрог, Калининград
Контактная информация:

Re: ipnat и работа с ним.

Непрочитанное сообщение QweЯty » 2011-04-11 1:45:13

хм. в этом конфиге?
UPD. все. нашел. конфиг дублировался в rc.conf с тестовыми подсетями

но все равно.

Код: Выделить всё

# cat /etc/ipnat.rules
map stge0 192.168.150.0/24 -> 192.168.5.224/32
map stge0 192.168.160.0/24 -> 192.168.5.224/32
map stge0 192.168.170.0/24 -> 192.168.5.224/32
map stge0 192.168.180.0/24 -> 192.168.5.224/32

map rl1 192.168.190.0/24 -> 192.168.1.224/32
ipfw в allow any to any стоит.
в чем дело?

UPDv2.
похоже проблема в defaultrouter="192.168.1.2", так как из подсети 190 теперь в инет выходить можно.

как добавить статичесий маршрут до 192,168,5,1 ? или... ээ... ну чтобы перенаправляло все с сети 150/160/170/180 на 192,168,5,1.


или, что гораздо правдоподобнее проблема в этом:

Код: Выделить всё

ng1: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1218
        inet 192.168.190.1 --> 192.168.190.6 netmask 0xffffffff
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396
        inet 192.168.190.1 --> 192.168.150.51 netmask 0xffffffff
Инженер не смотрит порно. Он ведет расчет бабы на усталость © Федор Сумкин
Изображение

Аватара пользователя
QweЯty
лейтенант
Сообщения: 790
Зарегистрирован: 2010-10-12 0:15:15
Откуда: Таганрог, Калининград
Контактная информация:

Re: ipnat и работа с ним.

Непрочитанное сообщение QweЯty » 2011-04-11 2:01:23

поменял дефаулт роутер на 192,168,5,1... пошли сети 150-180, но прекратила 190 идти....

Код: Выделить всё

route add 192.168.150.0/24 192.168.5.1
не помог.

как правильно задавать маршруты?
Инженер не смотрит порно. Он ведет расчет бабы на усталость © Федор Сумкин
Изображение

Аватара пользователя
QweЯty
лейтенант
Сообщения: 790
Зарегистрирован: 2010-10-12 0:15:15
Откуда: Таганрог, Калининград
Контактная информация:

Re: ipnat и работа с ним.

Непрочитанное сообщение QweЯty » 2011-04-11 11:50:10

хз в чем дело.

можно ли подобное сделать в pf?
Инженер не смотрит порно. Он ведет расчет бабы на усталость © Федор Сумкин
Изображение

Аватара пользователя
skeletor
майор
Сообщения: 2471
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: ipnat и работа с ним.

Непрочитанное сообщение skeletor » 2011-04-11 15:27:09

ipnat - для ната и не более. Тебе же нужно настроить маршрутизацию.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

квертя
проходил мимо

Re: ipnat и работа с ним.

Непрочитанное сообщение квертя » 2011-04-11 15:28:27

м, а подробнее...

маршруты все есть...
но не робит:(

Аватара пользователя
skeletor
майор
Сообщения: 2471
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: ipnat и работа с ним.

Непрочитанное сообщение skeletor » 2011-04-12 11:59:23

Вывод ifconfig давай.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

Аватара пользователя
QweЯty
лейтенант
Сообщения: 790
Зарегистрирован: 2010-10-12 0:15:15
Откуда: Таганрог, Калининград
Контактная информация:

Re: ipnat и работа с ним.

Непрочитанное сообщение QweЯty » 2011-04-12 16:27:11

Код: Выделить всё

# ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=3808<VLAN_MTU,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
        ether 00:0a:eb:41:06:29
        inet 10.10.225.224 netmask 0xffffff80 broadcast 10.10.225.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=3808<VLAN_MTU,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
        ether 00:0a:eb:40:a6:cf
        inet 192.168.1.224 netmask 0xffffff00 broadcast 192.168.1.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
stge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=82098<VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_MAGIC,LINKSTATE>
        ether 00:1d:60:5c:c7:c3
        inet 192.168.5.224 netmask 0xffffff00 broadcast 192.168.5.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
nfe0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=80008<VLAN_MTU,LINKSTATE>
        ether 00:01:6c:f8:7b:7d
        inet 192.168.10.1 netmask 0xffffff00 broadcast 192.168.10.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> metric 0 mtu 1500
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x7
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
        nd6 options=3<PERFORMNUD,ACCEPT_RTADV>
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396
        inet 192.168.190.1 --> 192.168.190.12 netmask 0xffffffff
ng1: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396
        inet 192.168.190.1 --> 192.168.150.54 netmask 0xffffffff
ng2: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396
        inet 192.168.190.1 --> 192.168.170.67 netmask 0xffffffff
ng5: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396
        inet 192.168.190.1 --> 192.168.180.83 netmask 0xffffffff
ng8: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396
        inet 192.168.190.1 --> 192.168.180.134 netmask 0xffffffff

Код: Выделить всё

# netstat -rn
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            192.168.1.2        UGS         5 111850704    rl1
10.0.0.0/8         10.10.225.129      UGS        41 118773873    rl0
10.10.225.128/25   link#1             U           0    31846    rl0
10.10.225.224      link#1             UHS         0        0    lo0
127.0.0.1          link#7             UH          0    82524    lo0
192.168.1.0/24     link#2             U           0   309482    rl1
192.168.1.224      link#2             UHS         0        0    lo0
192.168.5.0/24     link#3             U           0     2634  stge0
192.168.5.224      link#3             UHS         0        0    lo0
192.168.10.0/24    link#4             U           0 22142047   nfe0
192.168.10.1       link#4             UHS         0        0    lo0
192.168.150.0/24   192.168.5.1        UGS         0   121914  stge0
192.168.160.0/24   192.168.5.1        UGS         0      485  stge0
192.168.170.0/24   192.168.5.1        UGS         0        0  stge0
192.168.180.0/24   192.168.5.1        UGS         0        0  stge0
192.168.190.1      link#8             UHS        37       21    lo0
192.168.190.12    link#12            UH          0  5586097   ng0
192.168.190.54    link#9            UH          0   129934   ng1
192.168.190.67    link#11            UH          0    39104   ng2
192.168.190.83    link#10            UH          0   328425   ng5
192.168.190.134    link#13            UH          0   281763    ng8
195.208.0.0/16     10.10.225.129      UGS         0    67776    rl0

Internet6:
Destination                       Gateway                       Flags      Netif Expire
::1                               ::1                           UH          lo0
fe80::%lo0/64                     link#7                        U           lo0
fe80::1%lo0                       link#7                        UHS         lo0
ff01:7::/32                       fe80::1%lo0                   U           lo0
ff02::%lo0/32                     fe80::1%lo0                   U           lo0

Инженер не смотрит порно. Он ведет расчет бабы на усталость © Федор Сумкин
Изображение

Аватара пользователя
QweЯty
лейтенант
Сообщения: 790
Зарегистрирован: 2010-10-12 0:15:15
Откуда: Таганрог, Калининград
Контактная информация:

Re: ipnat и работа с ним.

Непрочитанное сообщение QweЯty » 2011-04-12 18:45:39

ткнули пальцем вот сюда:

Код: Выделить всё

Примем следующую конфигурацию сетевых интерфейсов:
rl0 - 1.1.1.1 /24(gateway 1.1.1.254 ISP1)
rl1 - 2.2.2.2 /24(gateway 2.2.2.254 ISP2)
rl2 - 3.3.3.3/24 (lan1, отдел А)
rl3 - 4.4.4.4 /24(lan2, отдел Б)

Поставим такую задачу, чтобы пользователи lan1 выходили в Интернет через первого провайдера ISP1,
а пользователи lan2 - через ISP2. Заранее оговорю, что приведенные ниже примеры будут работать
вне зависимости от того, какой маршрут по умолчанию (через ISP1 или ISP2) определен в настройках
ОС.

Сначала необходимо запустить NAT на интерфейсах rl0 и rl1:
natd -a 1.1.1.1 -p 8668
natd -a 2.2.2.2 -p 8778

Создадим набор правил для ipfw:
ipfw 10 add divert 8668 ip from 3.3.3.0/24 to any 
ipfw 20 add divert 8778 ip from 4.4.4.0/24 to any 
ipfw 30 add fwd 1.1.1.254 ip from 1.1.1.1 to any
ipfw 40 add fwd 2.2.2.254 ip from 2.2.2.2 to any
ipfw 50 add divert 8668 ip from any to 1.1.1.1
ipfw 60 add divert 8778 ip from any to 2.2.2.2
но не хочу на nattd поднимать... есть родной же ipnat который на уровне ядра работает и по отзывам меньше багов сожержит..(и проще! для меня :) )

вот такой же нельзя сделать на ipnat ну или на крайний случай ipfw nat
Инженер не смотрит порно. Он ведет расчет бабы на усталость © Федор Сумкин
Изображение

Аватара пользователя
skeletor
майор
Сообщения: 2471
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: ipnat и работа с ним.

Непрочитанное сообщение skeletor » 2011-04-13 15:01:55

На ipnat такого сделать нельзя вроде бы.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

Аватара пользователя
QweЯty
лейтенант
Сообщения: 790
Зарегистрирован: 2010-10-12 0:15:15
Откуда: Таганрог, Калининград
Контактная информация:

Re: ipnat и работа с ним.

Непрочитанное сообщение QweЯty » 2011-04-13 22:46:01

ясно :(

а как такое на ipfw nat можно сделать? как в выше в примере.
Инженер не смотрит порно. Он ведет расчет бабы на усталость © Федор Сумкин
Изображение

Аватара пользователя
skeletor
майор
Сообщения: 2471
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: ipnat и работа с ним.

Непрочитанное сообщение skeletor » 2011-04-14 10:42:40

Дык ты ж сам выше описал как :)
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

Аватара пользователя
QweЯty
лейтенант
Сообщения: 790
Зарегистрирован: 2010-10-12 0:15:15
Откуда: Таганрог, Калининград
Контактная информация:

Re: ipnat и работа с ним.

Непрочитанное сообщение QweЯty » 2011-04-14 14:02:14

то natd
а нужно ipfw nat
Инженер не смотрит порно. Он ведет расчет бабы на усталость © Федор Сумкин
Изображение