не видно второй интерфейс с наружи , два канала

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Гость
проходил мимо

не видно второй интерфейс с наружи , два канала

Непрочитанное сообщение Гость » 2009-01-23 15:42:29

Имеется машина с ос freebsd , на неё приходят два интернет канала ( от разных провайдеров ) ,и уходят в локальную сеть, в rc.conf прописан дефолтом гейт первого провайдера , pf раскидывает юзеров по разным каналам , всё замечательно уходит и приходит . ситуация такая снаружи пингуеться только тот интерфейс к которому прописан дефолтовый гейт , второй соответственно не видать , если поменять маршрут на другова прова как дефаулт то виден второй а первый не видать . В pf пинги открыты , и открыты ssh порты , пробовал убрать в rc.conf маршрут по умолчанию и прописать там статические маршруты , получается сам гейт не видит ничего и ни куда не может пойти , Читал много примеров где у людей и по 3 канала и машинку видать со всех сторон , помогите разобраться

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/


Yanis
рядовой
Сообщения: 23
Зарегистрирован: 2008-08-15 16:53:36

Re: не видно второй интерфейс с наружи , два канала

Непрочитанное сообщение Yanis » 2009-01-28 7:02:41

Да-да-да, то же самое...
Не могу вкурить, как отвечать на трафик с того интерфейса, откуда он пришел.
Предполагается, что весь трафик разрешен, вэлкам хакер :)

Итак, имеется локалка и 3 провайдера.
Внутри сети интернет без авторизации, причем на каждого из провайдеров уходит трафик на часть хостов (работает).
Весь остальной интернет round-robin-ится на двух безлимитных провайдеров.
Дефолт гейтвей сейчас стоит на 10.230.112.1, соответственно комп отвечает только с этого интерфейса.
Сам сервер тоже ходит в интернет только через дефолт гейтвей.

Задача: настроить pf, чтобы сервисы сервера отвечали с каждого интерфейса, чтобы сервер смотрел в таблицы pf и выбирал шлюз по ним.

Код: Выделить всё

#!/bin/sh

table <nursat> persist file "/etc/pf.nursat"
table <xcom> persist file "/etc/pf.xcom"
table <megaline> persist file "/etc/pf.megaline"

set block-policy drop
set skip on lo0
scrub in all fragment reassemble

int_if="re0"
ext_nursat="rl0"
ext_megaline="vr0"
ext_xcom="re1"

nat on $ext_nursat from $int_if:network to any -> x.y.98.234
nat on $ext_xcom from $int_if:network to any -> ($ext_xcom)
nat on $ext_megaline from $int_if:network to any -> ($ext_megaline)

pass in quick on $int_if route-to ($ext_nursat x.y.98.233) inet from any to <nursat> keep state
pass in quick on $int_if route-to ($ext_xcom 10.230.112.1) inet from any to <xcom> keep state
pass in quick on $int_if route-to ($ext_megaline 192.168.1.1) inet from any to <megaline> keep state

pass in quick on $int_if route-to {($ext_xcom 10.230.112.1), ($ext_megaline 192.168.1.1)} round-robin from $int_if:network to !$int_if:network keep state

pass in all
pass out all