Шлюз к нескольким провам
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- проходил мимо
Шлюз к нескольким провам
Доброго времени суток!
Собственно вопрос: необходимо поднять шлюз для сетей нескольких провов (пока двух, скоро будет 3).
Что имеем:
- CEl-800, 256 MB, 80 GB;
- FreeBSD 6.2;
- 3 сетевые карты: 2 на провов, 1 на мой комп;
- rl0 подключен к АДСЛ модему, настроенную bridge'м, авторизация через ppp, локальные сети 10.128.0.0/15;
- fxp0 подключен к ЛАН прову, доступ в нет через впн, локалка видна сразу, сетей много;
- rl1 подключен к моему компу;
Что нужно:
- Дать доступ абонентам двух провов видеть друг друга, с моего компа видеть сети двух провов, лазить в нет через АДСЛ;
Подскажите в какую сторону копать. Стоит ли использовать if_bridge? Какой фаер выбрать, пока использую ipfw но есть трабл с ЛАН провом, стоит ли смотреть в сторону других, учитывая, что надо будет поднять dc хаб, irc сервер и ДНС, м.б. еще фтп.
Собственно вопрос: необходимо поднять шлюз для сетей нескольких провов (пока двух, скоро будет 3).
Что имеем:
- CEl-800, 256 MB, 80 GB;
- FreeBSD 6.2;
- 3 сетевые карты: 2 на провов, 1 на мой комп;
- rl0 подключен к АДСЛ модему, настроенную bridge'м, авторизация через ppp, локальные сети 10.128.0.0/15;
- fxp0 подключен к ЛАН прову, доступ в нет через впн, локалка видна сразу, сетей много;
- rl1 подключен к моему компу;
Что нужно:
- Дать доступ абонентам двух провов видеть друг друга, с моего компа видеть сети двух провов, лазить в нет через АДСЛ;
Подскажите в какую сторону копать. Стоит ли использовать if_bridge? Какой фаер выбрать, пока использую ipfw но есть трабл с ЛАН провом, стоит ли смотреть в сторону других, учитывая, что надо будет поднять dc хаб, irc сервер и ДНС, м.б. еще фтп.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Re: Шлюз к нескольким провам
Есть уже работающий шлюз? Или ты Тех. Задание нам тут расписал и решайте господа мои проблемы?(пока использую ipfw но есть трабл с ЛАН провом)
Я бы с помощью роутинга организовывал и не трогал if_bridge.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
-
- проходил мимо
Re: Шлюз к нескольким провам
Пока шлюз используется только для выхода в нет и сетку по адсл, в лан мой комп не выходит, хотя со шлюза пинг проходит. ipfw самый простой:dikens3 писал(а):Есть уже работающий шлюз? Или ты Тех. Задание нам тут расписал и решайте господа мои проблемы?
Код: Выделить всё
ipfw add allow ip from me to any
ipfw add allow ip from any to me
ipfw add allow ip from 192.168.0.2 to any
ipfw add allow ip from any to 192.168.0.2
ipfw add deny log ip form any to any
Возваливать свои проблемы на чужие плечи не думаю, ибо самому интересно. Также не прошу готовых решений даже если все просто, т.к. хочу сам до всего дойти. Однако, от толковых подсказок и направлений не откажусь и буду очень благодарен.
Можно поподробнее, а то я еще совсем слаб в этих вопросах.dikens3 писал(а):Я бы с помощью роутинга организовывал и не трогал if_bridge.
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Re: Шлюз к нескольким провам
Такое решение довольно сложное для новичка, нужно бы тебе разбить его на части и решать постепенно.
1. Лазить в инет через ADSL.
Подключиться к обоим провайдерам, но в интернет ходить только через провайдера с ADSL.
С помощью ipfw и route всё реализуется.
2. C моего компа видеть сети двух провов.
Список сетей обоих провайдеров нужен.
Сделать статические маршруты к данным сетям через нужное соединение. (На шлюзе и у клиентов)
3. Дать доступ абонентам двух провов видеть друг друга.
Ну это автоматически будет реализовано в п.2, остаётся только с помощью ipfw ограничения необходимые сделать, если они нужны.
1. Лазить в инет через ADSL.
Подключиться к обоим провайдерам, но в интернет ходить только через провайдера с ADSL.
С помощью ipfw и route всё реализуется.
2. C моего компа видеть сети двух провов.
Список сетей обоих провайдеров нужен.
Сделать статические маршруты к данным сетям через нужное соединение. (На шлюзе и у клиентов)
3. Дать доступ абонентам двух провов видеть друг друга.
Ну это автоматически будет реализовано в п.2, остаётся только с помощью ipfw ограничения необходимые сделать, если они нужны.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
- hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Re: Шлюз к нескольким провам
интересно как клиенты сетей будут знать, что другие компы за данным шлюзом
что то мне мало понятно, тут имхо только бридж, только фильтровать его внимательно
от всяких гадостей
Пы.Сы. Точку обмена решил сделать?
что то мне мало понятно, тут имхо только бридж, только фильтровать его внимательно
от всяких гадостей
Пы.Сы. Точку обмена решил сделать?
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
-
- проходил мимо
- Сообщения: 2
- Зарегистрирован: 2008-03-18 15:50:56
Re: Шлюз к нескольким провам
Это я уже сделал. демон ppp и усе, впн подключать не стал, незачем пока. Со шлюза видны сетки обоих провов, но с моего компа - только АДСЛ.dikens3 писал(а):
1. Лазить в инет через ADSL.
Подключиться к обоим провайдерам, но в интернет ходить только через провайдера с ADSL.
С помощью ipfw и route всё реализуется.
ipfw.rules
Код: Выделить всё
#!/bin/sh
# Интерфейс моего компа
myif="rl1"
# Интерфейс подключённый к Гаранте
garif="fxp0"
# Интерфейс(ы), подключенный к Домолинку
mytun="tun*"
# IP-Адрес моего компа
mycomp="192.168.0.2"
# Все IP-Адреса Домолинка
domoip="10.128.0.0/16, 10.129.0.0/16"
# Все IP-Адреса Гаранты
garip="10.10.0.0/16, 10.11.0.0/16, 10.12.0.0/16, 172.16.0.0/14, 192.168.11.0/15, 192.168.31.0/24, 192.168.60.0/24, 192.168.200.0/24, 213.137.239.149, 213.137.239.150"
# Пользователи, которым разрешен доступ в инет
users="192.168.0.1"
# IP-Адреса DNS серверов Домолинка (PPPoE)
dnsdom="212.26.224.65, 212.26.230.61"
# IP-Адреса DNS серверов Гаранты
dnsgar="80.82.187.2"
# Шлюз Гаранты
gwgar="10.11.0.254"
# Пользователи, которым можно подключаться по SSH,
# пинговать наш сервер
ssh_ip_users="192.168.0.2"
fwcmd="/sbin/ipfw"
${fwcmd} -f flush
###########################################################################
# Пускаем lo и весь трафф от шлюза
${fwcmd} add pass all from any to any via lo0
${fwcmd} add pass all from me to any
${fwcmd} add pass all from any to me
# Пускаем мой комп
# В сеть Гаранты
${fwcmd} add allow all from ${mycomp} to ${garip} in via ${myif}
${fwcmd} add allow all from ${mycomp} to ${garip} out via ${garif}
# и обратно
${fwcmd} add allow all from ${garip} to ${mycomp} in via ${garif}
${fwcmd} add allow all from ${garip} to ${mycomp} out via ${myif}
# В сеть Домолинка
${fwcmd} add allow all from ${mycomp} to ${domoip} in via ${myif}
${fwcmd} add allow all from ${mycomp} to ${domoip} out via ${mytun}
# и обратно
${fwcmd} add allow all from ${domoip} to ${mycomp} in via ${mytun}
${fwcmd} add allow all from ${domoip} to ${mycomp} out via ${myif}
# Везде (инет временно)
${fwcmd} add allow all from ${mycomp} to any
${fwcmd} add allow all from any to ${mycomp}
# Все остальное в лог
${fwcmd} add deny log ip from any to any
они просто пропишут мой адрес в качестве шлюза и все.hizel писал(а):интересно как клиенты сетей будут знать, что другие компы за данным шлюзом
что то мне мало понятно, тут имхо только бридж, только фильтровать его внимательно
от всяких гадостей
Пы.Сы. Точку обмена решил сделать?
Код: Выделить всё
route add 10.128.0.0 mask 255.255.0.0 10.11.1.101 -p
насчет точки обмена я че-то не вкуряю пока.
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Re: Шлюз к нескольким провам
Как так получается, что видны обе сетки, а VPN соединения со вторым провайдером нет?rzn писал(а):Это я уже сделал. демон ppp и усе, впн подключать не стал, незачем пока. Со шлюза видны сетки обоих провов
Маршруты прописаны?но с моего компа - только АДСЛ.
Настаиваю на реализации варианта 1.route add 10.128.0.0 mask 255.255.0.0 10.11.1.101 -p
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
-
- проходил мимо
- Сообщения: 2
- Зарегистрирован: 2008-03-18 15:50:56
Re: Шлюз к нескольким провам
Проблема с невидимость сетки второго прова решена, видимо у прова был так настроен фаер, не пускавший 192.168.0.2, использование natd решило эту проблему, но возник вопрос: если придется натить всю сетку Домолинка (10.128.0.0/15), то скока это скушает ресурсов? Стоит ли использовать natd и ipfw или все же курить pf?
2dikens3: спасибо за ответы, помогло.
2dikens3: спасибо за ответы, помогло.
- alex3
- лейтенант
- Сообщения: 872
- Зарегистрирован: 2006-11-20 16:47:56
- Откуда: Переславль
- Контактная информация:
Re: Шлюз к нескольким провам
согласно закону о связи в точках сопряжения нескольких провов должно стоять фсбшное оборудование (сорм). как бы тебе за такие штуки не влетело...
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.
- Alex Keda
- стреляли...
- Сообщения: 35465
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
- hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Re: Шлюз к нескольким провам
правительство обратило внимание на интернет
законов с начала года на изменяли
ужесточают правила, провы бегают с бамашками по инстанциям
законов с начала года на изменяли
ужесточают правила, провы бегают с бамашками по инстанциям
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Re: Шлюз к нескольким провам
http://news.moe-online.ru/view/fsb_ofit ... roslu.htmllissyara писал(а):2 alex3
откуда дровишки?
Расти ноги начали наверное отсюда.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
- alex3
- лейтенант
- Сообщения: 872
- Зарегистрирован: 2006-11-20 16:47:56
- Откуда: Переславль
- Контактная информация:
Re: Шлюз к нескольким провам
наши провы говорят... именно поэтому мы стараемся особо сервисы из одной сети в другую не перекидывать...
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.