Страница 1 из 4
Помогите разобраться с NAT и PBR
Добавлено: 2008-10-03 15:03:54
kharkov_max
День добрый.
Пытаюсь поднять Nat на друх интерфейсах для маршрутизации от источника.
Есть сеть 192.168.110.0 (Lan1)и сеть 192.168.10.0 (Lan2) между ними стоит мой роутер.
Сеть Lan1 не видит адресов Lan2
На сеть Lan1 смотрит из роутера 2 интерфейса с адресами 192.168.110.1 (em1) и 192.168.110.2 (em2)
В сети Lan2 есть 2 компа которые необходимо выткнуть в сеть Lan1 через разные интерфейсы em1 и em2 т.е. сделать PBR.
Делаю так:
Код: Выделить всё
# rc.conf
ifconfig_em0="inet 192.168.10.1 netmask 255.255.255.0"
ifconfig_em1="inet 192.168.110.1 netmask 255.255.255.0"
ifconfig_em2="inet 192.168.110.2 netmask 255.255.255.0"
defaultrouter="192.168.133.250"
firewall_enable="YES"
firewall_type="close"
firewall_quiet="Yes"
firewall_script="/etc/firewall.conf"
natd_enable="YES"
# natd_interface="em1"
# natd_interface="em2"
# firewall.conf
ipfw="/sbin/ipfw -q"
inetrouter="192.168.110.250"
comp1="192.168.10.11"
comp2="192.168.10.12"
em1="192.168.110.1"
em2="192.168.110.2"
${ipfw} -f flush
natd -a ${em1} -p 8668
natd -a ${em2} -p 8778
${ipfw} add 100 divert 8668 ip from ${comp1} to any via ${em1}
${ipfw} add 200 divert 8778 ip from ${comp2} to any via ${em2}
${ipfw} add 300 fwd any ip from ${em1} to ${comp1}
${ipfw} add 400 fwd any ip from ${em2} to ${comp2}
${ipfw} add 500 divert 8778 ip from any to ${em2}
${ipfw} add 600 divert 8668 ip from any to ${em1}
${ipfw} add 65534 allow ip any to any
В результате comp1 ходит нормально, а comp2 даже не пингует свой интерфейс em2.
Проблема в том что интерфейсы em1 и em2 смотрят в одну сеть ...
Подскажите как реализовать данную схему работы сети правильно.
Заранее спасибо.
Re: Помогите разобраться с NAT и PBR
Добавлено: 2008-10-03 16:30:35
paradox
ну нереальная каша
ifconfig_em1="inet 192.168.110.1 netmask 255.255.255.0"
ifconfig_em2="inet 192.168.110.2 netmask 255.255.255.0"
comp2 даже не пингует свой интерфейс em2.
Проблема в том что интерфейсы em1 и em2 смотрят в одну сеть
а что вы там такое хотите сделать?то
Re: Помогите разобраться с NAT и PBR
Добавлено: 2008-10-03 16:41:44
kharkov_max
Хочу в одну сеть Lan1, вывести 2 компа, из сети Lan2, через разные сетевые карты em1 и em2.
Re: Помогите разобраться с NAT и PBR
Добавлено: 2008-10-03 16:54:57
paradox
рисуй топологию
я чет нифига не вьеду зачем там такие закрученые конфиги
Re: Помогите разобраться с NAT и PBR
Добавлено: 2008-10-03 17:29:53
kharkov_max
Попробую нарисовать.
- em1 |freebsd | - comp1
Lan1 - | роутер | em0 - свич (Lan2) -
-em2 | | - comp2
Если подразумавалось буквально нарисовать.
На словах. 2 компа из одной сети, необходимо через NAT вывести в другую сеть, по разным интерфейсам роутера.
Т.е. что б один комп работал только через em1, а второй только через em2.
Re: Помогите разобраться с NAT и PBR
Добавлено: 2008-10-03 17:32:11
kharkov_max
Да и еще у defaultrouter адрес "192.168.110.250"
В начале опечатка.
Re: Помогите разобраться с NAT и PBR
Добавлено: 2008-10-03 17:34:41
paradox
а сеть Lan1 смотрит из роутера 2 интерфейса с адресами 192.168.110.1 (em1) и 192.168.110.2 (em2)
обьясни смысл 2 сетевок на одну сеть?
почему нельзя одну?
Re: Помогите разобраться с NAT и PBR
Добавлено: 2008-10-03 17:39:30
paradox
нарисуй нормально топологию картинкой и прикрепи
распиши где там какой айпишник и комп
а то
${ipfw} add 300 fwd any ip from ${em1} to ${comp1}
${ipfw} add 400 fwd any ip from ${em2} to ${comp2}
чесно говоря бред
куда fwd будет?))))в any нет такого адреса
Re: Помогите разобраться с NAT и PBR
Добавлено: 2008-10-03 17:44:47
kharkov_max
paradox писал(а):а сеть Lan1 смотрит из роутера 2 интерфейса с адресами 192.168.110.1 (em1) и 192.168.110.2 (em2)
обьясни смысл 2 сетевок на одну сеть?
почему нельзя одну?
Провайдер определяет компы по IP и Mac адресу.
У провайдера был взят дополнительный IP. Поэтому на провайдера смотрит 2 сетевых.
Задача стоит весь трафик от внутренних компов направить через сервер.
Сейчас рисунок сделаю.
Re: Помогите разобраться с NAT и PBR
Добавлено: 2008-10-03 17:47:37
paradox
Код: Выделить всё
Провайдер определяет компы по IP и Mac адресу.
мак адре PBR Не прокидываеться
и зачем был взят второй айпи неяно
можно было NAT на один включить и все компы из него выпускать
Re: Помогите разобраться с NAT и PBR
Добавлено: 2008-10-03 18:01:47
paradox
правила должны быть как то так
${ipfw} add 300 fwd ${comp1} from ${em1} to any ip
${ipfw} add 400 fwd ${comp2} from ${em2} to any ip
поправь и проверь
если я все правильно понял
Re: Помогите разобраться с NAT и PBR
Добавлено: 2008-10-03 18:09:15
schizoid
Re: Помогите разобраться с NAT и PBR
Добавлено: 2008-10-03 18:40:54
kharkov_max
paradox писал(а):Код: Выделить всё
Провайдер определяет компы по IP и Mac адресу.
мак адре PBR Не прокидываеться
и зачем был взят второй айпи неяно
можно было NAT на один включить и все компы из него выпускать
Я знаю что не прокидывается Mac, но пакет выйдет наружу с измененным IP и нужным мне маком.
Если IP будет 1, то не получится разделить одни ресурсы сети, для которых нужен уникальный IP и Mac адрес.
Re: Помогите разобраться с NAT и PBR
Добавлено: 2008-10-03 18:43:59
paradox
исправь правила как я выше показал
и пробуй
Re: Помогите разобраться с NAT и PBR
Добавлено: 2008-10-03 18:46:23
kharkov_max
Эту статью читал, для natd, ядро перекомпиляно.
Re: Помогите разобраться с NAT и PBR
Добавлено: 2008-10-03 18:48:30
paradox
Re: Помогите разобраться с NAT и PBR
paradox 2008-10-03 17:01:47
правила должны быть как то так
${ipfw} add 300 fwd ${comp1} from ${em1} to any ip
${ipfw} add 400 fwd ${comp2} from ${em2} to any ip
поправь и проверь
если я все правильно понял
Re: Помогите разобраться с NAT и PBR
Добавлено: 2008-10-05 8:32:01
kharkov_max
Сделал так как Вы посоветовали
Код: Выделить всё
${ipfw} add 300 fwd ${comp1} from ${em1} to any ip
${ipfw} add 400 fwd ${comp2} from ${em2} to any ip
Через firewall проходит только comp1, comp2 не ходит во внешнюю сеть.
Уточню еще ставлю freebsd 7.0
Ядро перекомпилил с такими опциями:
Код: Выделить всё
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPFIREWALL_FORWARD
options IPFIREWALL_DEFAULT_TO_ACCEPT
options IPDIVERT
options DUMMYNET
Такое впечатление что не отрабатывает natd -a ${comp2} -p 8778
Т.е. фаервол работает просто как при включенном нате на 1 интерфейс, а мне нужно nat включить на 2х интерфейсах.
Если выключаю a фаерволе правила на comp1, то начинает нормально бегать comp2.
Re: Помогите разобраться с NAT и PBR
Добавлено: 2008-10-05 15:51:12
paradox
давай
ipfw show
со всеми правилами
Re: Помогите разобраться с NAT и PBR
Добавлено: 2008-10-05 21:15:03
nix86
kharkov_max писал(а):
${ipfw} add 100 divert 8668 ip from ${comp1} to any via ${em1}
${ipfw} add 200 divert 8778 ip from ${comp2} to any via ${em2}
Попробуй поменять на
Код: Выделить всё
${ipfw} add 100 divert 8668 ip from ${comp1} to any
${ipfw} add 200 divert 8778 ip from ${comp2} to any
и покажи
Re: Помогите разобраться с NAT и PBR
Добавлено: 2008-10-06 7:55:12
kharkov_max
nix86 писал(а):kharkov_max писал(а):
${ipfw} add 100 divert 8668 ip from ${comp1} to any via ${em1}
${ipfw} add 200 divert 8778 ip from ${comp2} to any via ${em2}
Попробуй поменять на
Код: Выделить всё
${ipfw} add 100 divert 8668 ip from ${comp1} to any
${ipfw} add 200 divert 8778 ip from ${comp2} to any
А где же я тогда должен указать через какой интерфейс ходить компам.
Мне же необходимо что б они ходили через разные интерфейсы.
Как для новичка во freebsd подскажите как сохранить результаты ip show и netstat -rn в файл и выложить для вас на форум.
Re: Помогите разобраться с NAT и PBR
Добавлено: 2008-10-06 10:55:11
paradox
Re: Помогите разобраться с NAT и PBR
Добавлено: 2008-10-06 11:47:41
kharkov_max
Подскажите пожалуйста т.к. две мои сетевые смотрят на одного провайдера и на один роутер, freebsd ругается.
arp. 192.168.110.250 is on em1 but got reply from ....... on em2.
Как это можно выключить ?
Комп долго грузится и т.д.
Re: Помогите разобраться с NAT и PBR
Добавлено: 2008-10-06 12:06:00
kharkov_max
paradox писал(а):ipfw show > resultat
00100 15290 20770470 divert 8668 ip from 192.168.10.11 to any via 192.168.110.1
00200 0 0 divert 8778 ip from 192.168.10.12 to any via 192.168.110.2
00300 0 0 fwd tablearg ip from 192.168.110.1 to 192.168.10.11
00400 0 0 fwd tablearg ip from 192.168.110.2 to 192.168.10.12
00500 10216 1194397 divert 8668 ip from any to 192.168.110.1
00600 0 0 divert 8778 ip from any to 192.168.110.2
65535 52822 44089315 allow ip from any to any
это ipwf show
а как загнать результат netstat -rn в файл ?
Re: Помогите разобраться с NAT и PBR
Добавлено: 2008-10-06 12:21:09
paradox
точно так же
а что это за tablearg ip ?
00300 0 0 fwd tablearg ip from 192.168.110.1 to 192.168.10.11
00400 0 0 fwd tablearg ip from 192.168.110.2 to 192.168.10.12
чет я не понял
что фаервол так сильно извратили ?
какая версия bsd?
${ipfw} add 300 fwd ${comp1} from ${em1} to any
${ipfw} add 400 fwd ${comp2} from ${em2} to any
поменяй в фаерволе
перегрузи комп
и покажи еще раз ipfw show
Re: Помогите разобраться с NAT и PBR
Добавлено: 2008-10-06 12:24:08
kharkov_max
nix86 писал(а):kharkov_max писал(а):
${ipfw} add 100 divert 8668 ip from ${comp1} to any via ${em1}
${ipfw} add 200 divert 8778 ip from ${comp2} to any via ${em2}
Попробуй поменять на
Код: Выделить всё
${ipfw} add 100 divert 8668 ip from ${comp1} to any
${ipfw} add 200 divert 8778 ip from ${comp2} to any
и покажи
Код: Выделить всё
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
default 192.168.110.250 UGS 0 71247 em1
192.168.110.0/20 link#2 UC 0 0 em1
192.168.110.250 00:16:c8:86:70:4b UHLW 2 0 em1 1200
192.168.110.175 00:18:37:05:d3:1a UHLW 1 12 em1 1165
127.0.0.1 127.0.0.1 UH 0 104 lo0
192.168.10.0/24 link#1 UC 0 0 em0
192.168.10.1 00:19:db:27:f8:64 UHLW 1 167 em0 1180
192.168.10.11 00:17:31:83:f3:9a UHLW 1 23422 em0 849
Internet6:
Destination Gateway Flags Netif Expire
::1 ::1 UHL lo0
fe80::%em1/64 link#2 UC em1
fe80::64b:80ff:fe80:8044%em1 04:4b:80:80:80:44 UHL lo0
fe80::%em2/64 link#3 UC em2
fe80::21a:4dff:fe74:ad45%em2 00:1a:4d:74:ad:45 UHL lo0
fe80::%lo0/64 fe80::1%lo0 U lo0
fe80::1%lo0 link#4 UHL lo0
ff01:2::/32 link#2 UC em1
ff01:3::/32 link#3 UC em2
ff01:4::/32 fe80::1%lo0 UC lo0
ff02::%em1/32 link#2 UC em1
ff02::%em2/32 link#3 UC em2
ff02::%lo0/32 fe80::1%lo0 UC lo0