SQUID и 2 канала в интернет

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
shelk
рядовой
Сообщения: 11
Зарегистрирован: 2008-10-07 20:07:32

SQUID и 2 канала в интернет

Непрочитанное сообщение shelk » 2011-05-24 8:37:55

Добрый день!
помогите советом, что делаю не так.

имеется FreeBSD 8.2-RELEASE
Squid Cache: Version 3.1.12
два провайдера 1й: XXX
2й: YYY
в squid.conf прописано tcp_outgoing_address YYY ( нужно что бы пользователи ходили через второго провайдера)
IPFW с минимумом правил

Код: Выделить всё

00090  0    0 check-state                                                                                                                                                                                  
00099  0    0 allow ip from any to any via lo0                                                                                                                                                             
00099  0    0 deny ip from any to 127.0.0.0/8                                                                                                                                                              
00099  0    0 deny ip from 127.0.0.0/8 to any                                                                                                                                                              
09999  1   60 skipto 10000 ip from any to any via nfe0                                                                                                                                                     
09999  0    0 skipto 11000 ip from any to any via nfe1                                                                                                                                                     
09999  2  120 skipto 12000 ip from any to any via ue0                                                                                                                                                      
09999  0    0 skipto 65000 ip from any to any                                                                                                                                                              
10101  0    0 deny ip from not LAN to any in recv nfe0                                                                                                                                          
10405  0    0 allow ip from any to any via nfe0                                                                                                                                                            
10998  0    0 deny log logamount 5 ip from any to any via nfe0                                                                                                                                             
10999  0    0 skipto 65000 ip from any to any                                                                                                                                                              
11202  0    0 allow ip from XXX to any out xmit nfe1 keep-state                                                                                                                                   
11998  0    0 deny log logamount 5 ip from any to any via nfe1                                                                                                                                             
11999  0    0 skipto 65000 ip from any to any                                                                                                                                                              
12201  0    0 allow ip from YYY to any out xmit ue0 keep-state                                                                                                                                    
12998  0    0 deny log logamount 5 ip from any to any via ue0                                                                                                                                              
12999  0    0 skipto 65000 ip from any to any                                                                                                                                                              
65534  0    0 deny log logamount 5 ip from any to any                                                                                                                                                      
65535  0    0 deny ip from any to any
две таблицы маршрутизац

Код: Выделить всё

setfib 0 netstat -rn                                                                                                                                                          
Routing tables                                                                                                                                                                                             
                                                                                                                                                                                                           
Internet:                                                                                                                                                                                                  
Destination        Gateway            Flags    Refs      Use  Netif Expire                                                                                                                                 
default            XXGate       UGS         0     3654   nfe1                                                                                                                                        
YYLan              link#5             U           0        4    ue0                                                                                                                                        
YYY                 link#5             UHS         0        0    lo0                                                                                                                                        
XXLan              link#2             U           0        0   nfe1                                                                                                                                        
XXX                 link#2             UHS         0        2    lo0                                                                                                                                        
127.0.0.1        link#4             UH          0     1858    lo0                                                                                                                                        
Lan                 link#1             U          41     8631   nfe0                                                                                                                                        
LanIp              link#1             UHS         0        0    lo0


setfib 1 netstat -rn                                                                                                                                                          
Routing tables                                                                                                                                                                                             
                                                                                                                                                                                                           
Internet:                                                                                                                                                                                                  
Destination        Gateway            Flags    Refs      Use  Netif Expire                                                                                                                                 
default            YYGate       UGS         1     7007    ue0                                                                                                                                        
YYLan              link#5             U           0        0    ue0                                                                                                                                        
XXLan              link#2             U           0        0   nfe1                                                                                                                                        
127.0.0.1        link#4             UH          0     7680    lo0                                                                                                                                        
Lan                 link#1             U           0       20   nfe0
следующая ситуация:
если сквид настроин на основного провайдера (в squid.conf убираю tcp_outgoing_address ) все работает, пользователи имеют желанный интернет пакеты бегают все здорово
если сквид настроин через резерв (в squid.conf возвращаю tcp_outgoing_address YYY) - ничего не работает

причем tcpdump показывает что пакеты от меня приходят к серверу на локальном интерфейсе а возвращаються пытаются на внешнем

Код: Выделить всё

внешний интерфейс 2го провайдера
tcpdump -i ue0 -nN                                                                                                                                                                        
09:29:46.395851 IP 192.168.1.210.3128 > 192.168.10.50.49229: Flags [S.], seq 1653804994, ack 1317895231, win 65535, options [mss 1420,nop,wscale 3,sackOK,TS val 3391222628 ecr 515039184], length 0       
09:29:46.430476 IP 192.168.1.210.3128 > 192.168.10.50.19029: Flags [S.], seq 2075411525, ack 850346510, win 65535, options [mss 1420,nop,wscale 3,sackOK,TS val 549683434 ecr 515039219], length 0         
09:29:46.431393 IP 192.168.1.210.3128 > 192.168.10.50.24315: Flags [S.], seq 3063322688, ack 3047052504, win 65535, options [mss 1420,nop,wscale 3,sackOK,TS val 1706744299 ecr 515039219], length 0       
09:29:46.432393 IP 192.168.1.210.3128 > 192.168.10.50.41777: Flags [S.], seq 2827387586, ack 2418244331, win 65535, options [mss 1420,nop,wscale 3,sackOK,TS val 1653665275 ecr 515039220], length 0       
09:29:46.432395 IP 192.168.1.210.3128 > 192.168.10.50.48454: Flags [S.], seq 3186139721, ack 4225167625, win 65535, options [mss 1420,nop,wscale 3,sackOK,TS val 1593556561 ecr 515039221], length 0       
09:29:46.433391 IP 192.168.1.210.3128 > 192.168.10.50.42379: Flags [S.], seq 4235997003, ack 4213854140, win 65535, options [mss 1420,nop,wscale 3,sackOK,TS val 4014060139 ecr 515039222], length 0       
09:29:46.434392 IP 192.168.1.210.3128 > 192.168.10.50.39354: Flags [S.], seq 4111713739, ack 4161574845, win 65535, options [mss 1420,nop,wscale 3,sackOK,TS val 2895589943 ecr 515039222], length 0 


внутренний интерфей
tcpdump -i nfe0 -nN host 192.168.10.50 and not port 2202                                                                                                                                  
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode                                                                                                                                 
listening on nfe0, link-type EN10MB (Ethernet), capture size 96 bytes                                                                                                                                      
09:29:34.846064 IP 192.168.10.50.44624 > 192.168.1.210.3128: Flags [S], seq 3960266926, win 65535, options [mss 1420,nop,wscale 3,sackOK,TS val 515027582 ecr 0], length 0                                 
09:29:37.823808 IP 192.168.10.50.44624 > 192.168.1.210.3128: Flags [S], seq 3960266926, win 65535, options [mss 1420,nop,wscale 3,sackOK,TS val 515030582 ecr 0], length 0                                 
09:29:46.395806 IP 192.168.10.50.49229 > 192.168.1.210.3128: Flags [S], seq 1317895230, win 65535, options [mss 1420,nop,wscale 3,sackOK,TS val 515039184 ecr 0], length 0                                 
09:29:46.430459 IP 192.168.10.50.19029 > 192.168.1.210.3128: Flags [S], seq 850346509, win 65535, options [mss 1420,nop,wscale 3,sackOK,TS val 515039219 ecr 0], length 0                                  
09:29:46.430678 IP 192.168.10.50.24315 > 192.168.1.210.3128: Flags [S], seq 3047052503, win 65535, options [mss 1420,nop,wscale 3,sackOK,TS val 515039219 ecr 0], length 0                                 
09:29:46.431899 IP 192.168.10.50.41777 > 192.168.1.210.3128: Flags [S], seq 2418244330, win 65535, options [mss 1420,nop,wscale 3,sackOK,TS val 515039220 ecr 0], length 0                                 
09:29:46.432170 IP 192.168.10.50.48454 > 192.168.1.210.3128: Flags [S], seq 4225167624, win 65535, options [mss 1420,nop,wscale 3,sackOK,TS val 515039221 ecr 0], length 0                                 
09:29:46.433319 IP 192.168.10.50.42379 > 192.168.1.210.3128: Flags [S], seq 4213854139, win 65535, options [mss 1420,nop,wscale 3,sackOK,TS val 515039222 ecr 0], length 0                                 
09:29:46.433558 IP 192.168.10.50.39354 > 192.168.1.210.3128: Flags [S], seq 4161574844, win 65535, options [mss 1420,nop,wscale 3,sackOK,TS val 515039222 ecr 0], length 0                                 
09:29:46.451146 IP 192.168.10.50.48642 > 192.168.1.210.3128: Flags [S], seq 230652330, win 65535, options [mss 1420,nop,wscale 3,sackOK,TS val 515039240 ecr 0], length 0                                  
09:29:46.495513 IP 192.168.10.50.60552 > 192.168.1.210.3128: Flags [S], seq 198733730, win 65535, options [mss 1420,nop,wscale 3,sackOK,TS val 515039284 ecr 0], length 0                                  
09:29:46.509351 IP 192.168.10.50.27992 > 192.168.1.210.3128: Flags [S], seq 3974970270, win 65535, options [mss 1420,nop,wscale 3,sackOK,TS val 515039298 ecr 0], length 0                                 
09:29:46.521098 IP 192.168.10.50.45182 > 192.168.1.210.3128: Flags [S], seq 29473053, win 65535, options [mss 1420,nop,wscale 3,sackOK,TS val 515039310 ecr 0], length 0 


Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
vadim64
майор
Сообщения: 2098
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: SQUID и 2 канала в интернет

Непрочитанное сообщение vadim64 » 2011-05-28 22:23:59

а как вы хотите?
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

shelk
рядовой
Сообщения: 11
Зарегистрирован: 2008-10-07 20:07:32

Re: SQUID и 2 канала в интернет

Непрочитанное сообщение shelk » 2011-05-30 17:10:07

т.е.?

Хочу что бы squid проксировал через второго провайдера

может я чтото не так понимаю, например работу tcp_outgoing_address ?


PS.. я правда уже отказался от управления провайдерами при помощи прокси и разделил задачи между двумя машинами (одна только проксирует, другая натит и управляет через какого провайдера кому ходить, но всеравно инетерсно как же оно должно работать и почему не заработало у меня. :(

iltmpz
ефрейтор
Сообщения: 58
Зарегистрирован: 2008-11-10 13:10:56

Re: SQUID и 2 канала в интернет

Непрочитанное сообщение iltmpz » 2011-05-30 17:18:40

Может, глупость скажу, но по-моему с 2 таблицами маршрутизации надо squid запускать через setfib 1, через rc-скрипт например настроить
А так он в дефолтовой таблице живет, тогда надо forward настроить на 2-го провайдера.

iltmpz
ефрейтор
Сообщения: 58
Зарегистрирован: 2008-11-10 13:10:56

Re: SQUID и 2 канала в интернет

Непрочитанное сообщение iltmpz » 2011-05-30 17:23:00

я имею в виду, либо написать в /usr/local/etc/rc.d/squid:
command=sertfib 1 /usr/local/sbin/squid
Тогда tcp_outgoing_address вообще не нужен.

Либо если он живет в 1-й таблице, то в ipfw сделать форвардинг пакетов наподобие:
${fwcmd} add fwd ${gw_2} ip from ${ip_2} to any out xmit ${if_1}
И тогда например должен работать пинг типа: ping -S ${ip_2} ya.ru

shelk
рядовой
Сообщения: 11
Зарегистрирован: 2008-10-07 20:07:32

Re: SQUID и 2 канала в интернет

Непрочитанное сообщение shelk » 2011-05-30 18:36:38

Сквид пробовал запускать по разному (перебрал все комбинации) и через setfib и в паре с tcp_outgoing_address и только tcp_outgoing_address
не хочет работать.... вот тут упоминалось что squid3 не работает через setfib ему обязательно нужен еще tcp_outgoing_address тогда мол все ок, но у меня не завелось( http://forum.lissyara.su/viewtopic.php? ... iew=unread )

shelk
рядовой
Сообщения: 11
Зарегистрирован: 2008-10-07 20:07:32

Re: SQUID и 2 канала в интернет

Непрочитанное сообщение shelk » 2011-05-30 18:48:24

по поводу форвардинга , хотелось чесно говоря обойтись без него...