Отдельный ip для сайта

[zar0ku1]

Где-то меня замкнуло - не знаю где, помогите разомкнуть...

есть два канала:
первый - офисный интернет - все нормально,
второй - для висящего на этом сервере сайта

прописал в rc.conf

Код: Выделить всё

# provider-2
ifconfig_rl0="inet 193.188.220.62 netmask 255.255.255.252"

не буду писать свои умозаключения (возможно они неверные изначально )
начнем с самого начала: почему не пингуется этот ip?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[princeps]

не пингуется изнутри или снаружи?
фаервол?

[zar0ku1]

не пингуется изнутри или снаружи?
фаервол?

Код: Выделить всё

03630     41      2896 allow ip from any to any via rl0
65535    628    165511 deny ip from any to any

с самого сервера естественно пингуется, с внешнего сервера не пингуется

[ADRE]

у тя же два интерфейса? так ? все запрещено для для второго, и как оно у тебя будеут ходить их сети если у тебя in via ${local_net} закрыто?

[zar0ku1]

у тя же два интерфейса? так ? все запрещено для для второго, и как оно у тебя будеут ходить их сети если у тебя in via ${local_net} закрыто?

на первом интерфейсе (dc0) у меня разрешен icmp, 25, 80, 110 ну итд
на втором разрешено все (rl0) (пока) должен быть разрешен только 80 порт

[princeps]

ipfw show давай
а tcpdump что говорит?

[zar0ku1]

ipfw show давай
а tcpdump что говорит?

sudo ipfw show
Password:
00020 2441 161768 allow icmp from any to any
01000 1177346 971474426 allow ip from any to any via dc0
03530 176801 168780172 allow tcp from any to any established
03630 56 4124 allow ip from any to any via rl0
65535 721 189700 deny ip from any to any

tcpdump -i rl0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on rl0, link-type EN10MB (Ethernet), capture size 96 bytes
17:23:33.968375 IP shukan.ru > 193.188.220.62: ICMP echo request, id 13102, seq 0, length 64
17:23:35.008374 IP shukan.ru > 193.188.220.62: ICMP echo request, id 13102, seq 1, length 64
17:23:36.048996 IP shukan.ru > 193.188.220.62: ICMP echo request, id 13102, seq 2, length 64
^C
3 packets captured
3 packets received by filter
0 packets dropped by kernel
+

[manefesto]

вырубай фаер и тестируй

[zar0ku1]

вырубай фаер и тестируй

заработало, эм, а разве правила в самом низу не достаточно было?

[ADRE]

кстате для пинга скажу те по секрету 0,8 )

[zar0ku1]

кстате для пинга скажу те по секрету 0,8 )

не понял, что 0,8?

и к слову, не работал не только пинг, но и 80 порт tcp
пинг просто привел как пример

[zar0ku1]

не обратил сразу внимания, ответ приходит не из того канала:

пингую один адрес, отвечает другой, как поправить?

[schizoid]

ответ уходит по дефолтному маршруту

[zar0ku1]

ответ уходит по дефолтному маршруту

спасибо за очевидный ответ, а как сделать чтобы запрос на этот интерфейс по нему и уходил?

[schizoid]

форвардить в него полагаю. можно фаерволом.

[zar0ku1]

форвардить в него полагаю. можно фаерволом.

пробовал делать так

Код: Выделить всё

${fw} add 30 fwd 193.188.220.61 all from 193.188.220.62 to any out via rl0

где 193.188.220.62 - мой айпи
193.188.220.61 - шлюз

не работает

[schizoid]

у мну между НАТами это правило

[zar0ku1]

у мну между НАТами это правило

можно поподробнее? а то не совсем понимаю зачем нат на этом интерфейсе

[Covax]

пробовал делать так

Код: Выделить всё

${fw} add 30 fwd 193.188.220.61 all from 193.188.220.62 to any out via rl0

где 193.188.220.62 - мой айпи
193.188.220.61 - шлюз
не работает

И не будет. Пинг уходит в дефолтный маршрут на 20 правиле. Надо форвадить до разрешения.

[zar0ku1]

И не будет. Пинг уходит в дефолтный маршрут на 20 правиле. Надо форвадить до разрешения.

форвард ставил в самое начало

[zar0ku1]

Проблема решена, всем спасибо, оказалось все настолько просто
решение кому-нибудь интересно?

[princeps]

интересно

[zar0ku1]

интересно

рассказываю суть метода, маршрутизация средствами ipfw

есть два интерфейса в rc.conf

Код: Выделить всё

# Beeline
defaultrouter="89.188.253.1"
ifconfig_dc0="inet 89.188.253.2 netmask 255.255.255.248"

# TTK
#defaultrouter="188.168.64.25"
ifconfig_rl0="inet 188.168.64.26 netmask 255.255.255.252"

ситуация 1:

Код: Выделить всё

пакет приходит на 89.188.253.2 -> обрабатывается -> уходит на default gateway 89.188.253.1
[b]нас устраивает[/b]

ситуация 2:

Код: Выделить всё

пакет приходит на 188.168.64.26 -> обрабатывается -> уходит на default gateway 89.188.253.1
[b]нас не устраивает[/b]

Нам нужно перехватить пакеты пришедшие с интерфейса rl0 (188.168.64.26) и пытающиеся уйти на default gateway 89.188.253.1 через интерфейс dc0

средствами ipfw делается так:

Код: Выделить всё

ifpw add 30 fwd 188.168.64.25 all from 188.168.64.26 to any out via dc0

по-русски:
нужно добавить в самое начало правило, которое отфорвардит на gateway интерфейса rl0 (188.168.64.25) трафик пытающийся выйти через интерфейс dc0

P.S. могу нарисовать схему, если так не понятно