Архив форумов ЦИТФорума

[sulimov]

Имеется:
1. Малые познания в FreeBSD
2. FreeBSD 5.3 IPDIVERT + UP FIREWALL ... 192.168.0.100 - xl0
3. ADSL канал IP 172.17.17.2 шлюз 172.17.17.1 - rl0
4. Модемный канал ppp0
5. Локальная сеть 192.168.0.0/255.255.255.0 - xl0
6. SQUID

Нужно:
1. Пользователя 192.168.0.1 пускать в интернет через ADSL
2. Пользователя 192.168.0.2 пускать в интернет через модем (если есть, если нет не пускать никуда)
3. Squid пользователя 192.168.0.1 пускает в интернет через ADSL
4. Squid пользователя 192.168.0.2 пускает в интернет через модем (если есть, если нет не пускать никуда)

Что пока получилось:
rc.conf
nat_enable="YES"
natd_inteface="rl0"
natd_flags=""
...

route add default 172.17.17.1
#Для доступа локальной сети к FreeBSD
ipfw add 1 allow ip from 192.168.0.0/24 to 192.168.0.100

#192.168.0.1 переправляем на natd
ipfw add 100 divert natd ip from 192.168.0.1 to any
#Точноне знаю, но нужно для обратной связи
ipfw add 200 divert natd ip from any to 172.17.17.2

в итоге 192.168.0.1 ходит в инет через ADSL

Теперь подключаю модем, а как дальше заставить 192.168.0.2 ходить в инет через него не знаю.

Помогите по подробнее. Чтение opennet.ru помогло только с ADSL.

[squirL]

вопрос №1: зачем имея сквид, заворачивать юзеров на НАТ?
вопрос №2: почему не попробовать сделать два NAT интерфейса? один заворачивается на rl0, второй на ppp0 (или кто там у вас модем :) )

[sulimov]

[sedfom]

sulimov

[sulimov]

Огромное спасибо за Вашу огромную помощь.

[dio]

Я не знаю, как это сделать средствами ipfw, мне кажется вариант с двумя интерфейсами для NAT хорошим. Но если речь идет именно за ipfw, то вот это мне ОЧЕНЬ помогает, посмотри, не побрезгуй
E:\Unix learn\FBSD\AllFBSD\All BSD\Secure\BSD ipfw-firewall\www_HUB_ru - Сайт о Домашних Сетях1.htm
_________________
All is not lost!

[dio]

Извини...с винта дал....вот
http://www.hub.ru/modules.php?name=Pages&op=showpage&pid=37
_________________
All is not lost!

[sulimov]

Спасибо dio. Читал я эту статью (на opennet.ru находил и много похожих), но не дает мне это никаких результатов.
вот линк, в котором я еще понимаю описанные правила, но это не работает
http://www.opennet.ru/base/net/2_channel_balancing.txt.html

ppp0 = 213.130.14.55 шлюз 213.130.14.19

//Запустили еще один NAT на порту 8672 для ppp0
natd -a ppp0 -p 8672
//Все пакеты с 192.168.0.2 перправляем на NAT
ipfw add 20 divert 8672 ip from 192.168.0.2 to any
//Все пакеты с ppp0 форвардим на шлюз ppp0
ipfw add 50 fwd 213.130.14.19 ip from 213.130.14.55 to any
//Все что приходит с ppp0 отправляем на NAT
ipfw add 60 divert 8672 ip from any to 213.130.14.55

[sedfom]

Плачевная у Вас ситуация sulimov

NAT - механизм транслирующий приватные адреса по ВСЕМ входным портам в один реальный адрес с тем же портом. Т.е. запрос от клиента с адресом 192.168.0.2 на ресурс http://www.ya.ru (80 порт), транслируется в запрос от клиента 172.17.17.2 (адрес natd_interface) на ресурс http://www.ya.ru (80 порт). Запрос от клиента с адресом 192.168.0.2 на ресурс ftp://ftp.ya.ru (21 порт), транслируется в запрос от клиента 172.17.17.2 (адрес natd_interface) на ресурс ftp://ftp.ya.ru (21 порт).

А теперь подумайте как Вы хотите посадить NAT на определенный порт?

Мне лично кажется, что для Вашей ситуации проще пока отдать модем клиенту 192,168,0,2, а всю остальную сеть выпустить через ADSL , тем более, что Вы это уже делали

[sulimov]

Базовая инфо:
http://ipfw.ism.kiev.ua/pbr.html

[sedfom]

Ну чтож, давайте будем искать ошибки.

1. Настроен ли модем (пробовали выходить с него в интернет из FreeBSD)
2. выкладывайте конфигурационный файл файрвола (целиком )

[dio]

И я прошу вас продолжить эту тему, не пропадать, мне очень интересно и поучительно.
_________________
All is not lost!

[dio]

up
_________________
All is not lost!

[sulimov]

Итого рабочий вариант:

1 Канал ip 172.17.17.2 шлюз 172.17.17.1
2 Канал ip 213.130.14.146 шлюз 213.130.14.21

#Роутинг по умолчанию
route add default 172.17.17.2
#Для второго канала
route add default 213.130.14.0 -netmask 255.255.255.0 interface ppp0
#Для DNS через ADSL
route add default 195.248.191.0 -netmask 255.255.255.0 gateway 172.17.17.1

#Включение NAT для клиентов
файл ipnat.rules
map ppp0 192.168.0.1/255.255.255.255 -> 213.130.14.146/32
map xl0 192.168.0.2/255.255.255.255 -> 172.17.17.2/32
#Загрузка конф.
ipnat -CF -f ipnat.rules

#Перенаправление клиентов в каналы
ipfw add 100 fwd 213.130.14.21 ip from 192.168.0.1 to any
ipfw add 200 fwd 172.17.17.1 ip from 192.168.0.2 to any

ВОПРОС
Как настроить squid чтобы в зависимости от ip клиента использовался 1 или 2 канал.

tcp_outgoing_adress 213.130.14.146 не помагает направить запросы на второй канал (по умолчанию роутинг на 1 канал)

[dio]

где господин sedfom?
_________________
All is not lost!

[sedfom]

Я вообще не пользовался настройками Squida при двух внешних каналах. Прочитав последнее сообщение sulimov

[dio]

так согласен или нет со статьей - я не допонял, прошу прощения....
_________________
All is not lost!

[dio]

а где теперь господин sulimov?
_________________
All is not lost!

[and3008]

Забей на tcp_outgoing_adress
Это тебе никаким местом не поможет.
squid выставит его в качестве исходящего, а как пойдут пакеты определяется сетевой политикой, которой рулит ipfw.

Я не силен в FreeBSD, но аналогичная задача такого хитрого разруливания трафика довольно легко решается на Linux и помощью iproute2, iptables и cbq.

Что знал - сказал.

[dio]

[dio]

я немного не в тему - простите. Сюдя по всему у and3008 сейчас настроение вроде ничего...может поможешь по CGP? А то я так юзверей и завожу руками(тема migration)...скоро руки как у дровосека будут
или как у Челентано в фильме "Укрощение строптивой", только по другой причине... юзверей около 3 тысяч.... извините...
_________________
All is not lost!

[and3008]

Вышли мне на мыло свой passwd и shadow.
Сделаю тебе файл, раз ты, ленища такая не можешь, разобраться.

В ответ получишь файл, который скормишь CGP.

[dio]

УРА!!! Шлю! Не ленища я...смарта не хватает....
_________________
All is not lost!