Страница 1 из 1
ipfw + 2 канала + доступ извне
Добавлено: 2009-04-06 4:02:18
Orcus
Добрый день.
Что имеем:
re0 - со статическим адресом, но дорогой, по траффику
ng0 - анлим с динамическим адресом.
Из локалы ходят наружу по анлиму, второй канал в основном для удобства захода на сервак + апача.
Задача:
Добавить возможность обращения к веб-серверу через интерфейс ng0
Вопросы:
Как файру дать понять, на какой интерфейс отправить исходящий поток с 80 порта?
т.е. при обращении на domen1.ru чтобы общение шло по анлиму, а при обращении на domen2.ru по лимитке.
- netw.JPG (22.73 КБ) 849 просмотров
Re: ipfw + 2 канала + доступ извне
Добавлено: 2009-04-06 5:38:04
RusBiT
Картинку нарисуйте, несовсем понятно.
Re: ipfw + 2 канала + доступ извне
Добавлено: 2009-04-06 9:20:11
skeletor
Не указан файервол. Приведу код на ipfw
Код: Выделить всё
add 101 allow all from $local-net to domen1.ru 80 via ng0
add 102 deny all from $local-net to domen1.ru 80
add 201 allow all from $local-net to domen2.ru 80 via re0
add 202 deny all from $local-net to domen2.ru 80
Вот так оно выглядит на pf
Код: Выделить всё
pass quick proto tcp from $local-net to domen1.ru 80 via ng0
block quick proto tcp from $local-net to domen1.ru 80
pass quick proto tcp from $local-net to domen2.ru 80 via re0
block quick proto tcp from $local-net to domen2.ru 80
Re: ipfw + 2 канала + доступ извне
Добавлено: 2009-04-06 9:53:36
Orcus
Файрвол указан в заголовке темы.
Нужно сделать доступ извне на два интерфейса (входящий), а не из локалы наружу.
Код: Выделить всё
# Открываем вход на наш 80 порт
#domen1.ru
add 101 allow all from any to me 80 in via ng0 setup
add 102 allow all from any to me 80 in via ng0 established
#domen2.ru
add 201 allow all from any to me 80 in via re0 setup
add 202 allow all from any to me 80 in via re0 established
#А здесь нужно вернуть out трафик через нужный интерфейс
add 300 fwd xx.xx.xx.xx all from me 80 to any out ...
add deny all from any to any
Как указать через какой интерфейс отдавать? recv пробовал, не вернул
Re: ipfw + 2 канала + доступ извне
Добавлено: 2009-04-06 10:17:29
skeletor
А пакет через интерфейс пришёл, через такой и уйдёт.
Re: ipfw + 2 канала + доступ извне
Добавлено: 2009-04-06 13:55:03
Orcus
А как быть, если исходящий поток нужно форвардить? Если для ng0 все идет по маршруту по-умолчанию, то для re0 нужно отправлять самому
Re: ipfw + 2 канала + доступ извне
Добавлено: 2009-04-06 14:30:22
terminus
Версия фришки какая у вас? В 7.1 появились множественные таблицы маршрутизации (fib). Через ipfw setfib можно указывать какой трафик через какой default route слать наружу.
http://www.freebsd.org/cgi/man.cgi?quer ... ormat=html
http://www.freebsd.org/cgi/man.cgi?quer ... ormat=html
Код: Выделить всё
setfib fibnum
The packet is tagged so as to use the FIB (routing table) fibnum
in any subsequent forwarding decisions. Initially this is limited
to the values 0 through 15. See setfib(8). Processing continues
at the next rule.
Я не уверен в решении, но кажется так можно будет разделить уходящий наружу трафик между интерфейсами.
Re: ipfw + 2 канала + доступ извне
Добавлено: 2009-04-06 15:07:42
Orcus
На тестовом - фряшка 7.1, на рабочем 7.0. Спасибо, покопаю в этом направлении.