Страница 1 из 1

Отдельный ip для сайта

Добавлено: 2009-11-30 2:44:49
zar0ku1
Где-то меня замкнуло - не знаю где, помогите разомкнуть...

есть два канала:
первый - офисный интернет - все нормально,
второй - для висящего на этом сервере сайта

прописал в rc.conf

Код: Выделить всё

# provider-2
ifconfig_rl0="inet 193.188.220.62 netmask 255.255.255.252"
не буду писать свои умозаключения (возможно они неверные изначально :st: )
начнем с самого начала: почему не пингуется этот ip?

Re: Отдельный ip для сайта

Добавлено: 2009-11-30 9:37:42
princeps
не пингуется изнутри или снаружи?
фаервол?

Re: Отдельный ip для сайта

Добавлено: 2009-11-30 10:01:31
zar0ku1
princeps писал(а):не пингуется изнутри или снаружи?
фаервол?

Код: Выделить всё

03630     41      2896 allow ip from any to any via rl0
65535    628    165511 deny ip from any to any
с самого сервера естественно пингуется, с внешнего сервера не пингуется

Re: Отдельный ip для сайта

Добавлено: 2009-11-30 10:03:26
ADRE
у тя же два интерфейса? так ? все запрещено для для второго, и как оно у тебя будеут ходить их сети если у тебя in via ${local_net} закрыто?

Re: Отдельный ip для сайта

Добавлено: 2009-11-30 10:12:08
zar0ku1
ADRE писал(а):у тя же два интерфейса? так ? все запрещено для для второго, и как оно у тебя будеут ходить их сети если у тебя in via ${local_net} закрыто?
на первом интерфейсе (dc0) у меня разрешен icmp, 25, 80, 110 ну итд
на втором разрешено все (rl0) (пока) должен быть разрешен только 80 порт

Re: Отдельный ip для сайта

Добавлено: 2009-11-30 10:18:49
princeps
ipfw show давай
а tcpdump что говорит?

Re: Отдельный ip для сайта

Добавлено: 2009-11-30 10:28:38
zar0ku1
princeps писал(а):ipfw show давай
а tcpdump что говорит?
sudo ipfw show
Password:
00020 2441 161768 allow icmp from any to any
01000 1177346 971474426 allow ip from any to any via dc0
03530 176801 168780172 allow tcp from any to any established
03630 56 4124 allow ip from any to any via rl0
65535 721 189700 deny ip from any to any
tcpdump -i rl0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on rl0, link-type EN10MB (Ethernet), capture size 96 bytes
17:23:33.968375 IP shukan.ru > 193.188.220.62: ICMP echo request, id 13102, seq 0, length 64
17:23:35.008374 IP shukan.ru > 193.188.220.62: ICMP echo request, id 13102, seq 1, length 64
17:23:36.048996 IP shukan.ru > 193.188.220.62: ICMP echo request, id 13102, seq 2, length 64
^C
3 packets captured
3 packets received by filter
0 packets dropped by kernel
+

Re: Отдельный ip для сайта

Добавлено: 2009-11-30 10:35:40
manefesto
вырубай фаер и тестируй

Re: Отдельный ip для сайта

Добавлено: 2009-11-30 10:46:23
zar0ku1
manefesto писал(а):вырубай фаер и тестируй
заработало, эм, а разве правила в самом низу не достаточно было?

Re: Отдельный ip для сайта

Добавлено: 2009-11-30 11:12:19
ADRE
кстате для пинга скажу те по секрету 0,8 =))

Re: Отдельный ip для сайта

Добавлено: 2009-11-30 11:58:35
zar0ku1
ADRE писал(а):кстате для пинга скажу те по секрету 0,8 =))
не понял, что 0,8?

и к слову, не работал не только пинг, но и 80 порт tcp
пинг просто привел как пример

Re: Отдельный ip для сайта

Добавлено: 2009-11-30 15:14:18
zar0ku1
не обратил сразу внимания, ответ приходит не из того канала:

пингую один адрес, отвечает другой, как поправить?

Re: Отдельный ip для сайта

Добавлено: 2009-12-01 10:21:30
schizoid
ответ уходит по дефолтному маршруту

Re: Отдельный ip для сайта

Добавлено: 2009-12-01 12:09:58
zar0ku1
schizoid писал(а):ответ уходит по дефолтному маршруту
спасибо за очевидный ответ, а как сделать чтобы запрос на этот интерфейс по нему и уходил?

Re: Отдельный ip для сайта

Добавлено: 2009-12-01 12:52:58
schizoid
форвардить в него полагаю. можно фаерволом.

Re: Отдельный ip для сайта

Добавлено: 2009-12-01 16:19:35
zar0ku1
schizoid писал(а):форвардить в него полагаю. можно фаерволом.
пробовал делать так

Код: Выделить всё

${fw} add 30 fwd 193.188.220.61 all from 193.188.220.62 to any out via rl0
где 193.188.220.62 - мой айпи
193.188.220.61 - шлюз

не работает

Re: Отдельный ip для сайта

Добавлено: 2009-12-01 17:09:36
schizoid
у мну между НАТами это правило

Re: Отдельный ip для сайта

Добавлено: 2009-12-01 18:19:22
zar0ku1
schizoid писал(а):у мну между НАТами это правило
можно поподробнее? а то не совсем понимаю зачем нат на этом интерфейсе

Re: Отдельный ip для сайта

Добавлено: 2009-12-01 19:46:13
Covax
zar0ku1 писал(а): пробовал делать так

Код: Выделить всё

${fw} add 30 fwd 193.188.220.61 all from 193.188.220.62 to any out via rl0
где 193.188.220.62 - мой айпи
193.188.220.61 - шлюз
не работает
И не будет. Пинг уходит в дефолтный маршрут на 20 правиле. Надо форвадить до разрешения.

Re: Отдельный ip для сайта

Добавлено: 2009-12-02 0:46:07
zar0ku1
Covax писал(а): И не будет. Пинг уходит в дефолтный маршрут на 20 правиле. Надо форвадить до разрешения.
форвард ставил в самое начало

Re: Отдельный ip для сайта

Добавлено: 2009-12-02 10:41:49
zar0ku1
Проблема решена, всем спасибо, оказалось все настолько просто :Yahoo!:
решение кому-нибудь интересно?

Re: Отдельный ip для сайта

Добавлено: 2009-12-03 16:01:33
princeps
интересно

Re: Отдельный ip для сайта

Добавлено: 2009-12-04 7:22:58
zar0ku1
princeps писал(а):интересно
рассказываю суть метода, маршрутизация средствами ipfw

есть два интерфейса в rc.conf

Код: Выделить всё

# Beeline
defaultrouter="89.188.253.1"
ifconfig_dc0="inet 89.188.253.2 netmask 255.255.255.248"

# TTK
#defaultrouter="188.168.64.25"
ifconfig_rl0="inet 188.168.64.26 netmask 255.255.255.252"
ситуация 1:

Код: Выделить всё

пакет приходит на 89.188.253.2 -> обрабатывается -> уходит на default gateway 89.188.253.1
[b]нас устраивает[/b]
ситуация 2:

Код: Выделить всё

пакет приходит на 188.168.64.26 -> обрабатывается -> уходит на default gateway 89.188.253.1
[b]нас не устраивает[/b]
Нам нужно перехватить пакеты пришедшие с интерфейса rl0 (188.168.64.26) и пытающиеся уйти на default gateway 89.188.253.1 через интерфейс dc0

средствами ipfw делается так:

Код: Выделить всё

ifpw add 30 fwd 188.168.64.25 all from 188.168.64.26 to any out via dc0
по-русски:
нужно добавить в самое начало правило, которое отфорвардит на gateway интерфейса rl0 (188.168.64.25) трафик пытающийся выйти через интерфейс dc0

P.S. могу нарисовать схему, если так не понятно