| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
sulimov
Зарегистрирован: 23.03.2005
Сообщения: 6
|
 Добавлено: Ср Мар 23 2005 15:13 Заголовок сообщения: FreeBSD + ADSL + ppp перенаправление пользователей |
 |
|
Имеется:
1. Малые познания в FreeBSD
2. FreeBSD 5.3 IPDIVERT + UP FIREWALL ... 192.168.0.100 - xl0
3. ADSL канал IP 172.17.17.2 шлюз 172.17.17.1 - rl0
4. Модемный канал ppp0
5. Локальная сеть 192.168.0.0/255.255.255.0 - xl0
6. SQUID
Нужно:
1. Пользователя 192.168.0.1 пускать в интернет через ADSL
2. Пользователя 192.168.0.2 пускать в интернет через модем (если есть, если нет не пускать никуда)
3. Squid пользователя 192.168.0.1 пускает в интернет через ADSL
4. Squid пользователя 192.168.0.2 пускает в интернет через модем (если есть, если нет не пускать никуда)
Что пока получилось:
rc.conf
nat_enable="YES"
natd_inteface="rl0"
natd_flags=""
...
route add default 172.17.17.1
#Для доступа локальной сети к FreeBSD
ipfw add 1 allow ip from 192.168.0.0/24 to 192.168.0.100
#192.168.0.1 переправляем на natd
ipfw add 100 divert natd ip from 192.168.0.1 to any
#Точноне знаю, но нужно для обратной связи
ipfw add 200 divert natd ip from any to 172.17.17.2
в итоге 192.168.0.1 ходит в инет через ADSL
Теперь подключаю модем, а как дальше заставить 192.168.0.2 ходить в инет через него не знаю.
Помогите по подробнее. Чтение opennet.ru помогло только с ADSL. |
|
| Вернуться к началу |
|
 |
squirL
Зарегистрирован: 05.01.2005
Сообщения: 371
Откуда: Одесса
|
| Добавлено: Ср Мар 23 2005 17:42 Заголовок сообщения: Re: FreeBSD + ADSL + ppp перенаправление пользователей |
|
|
вопрос №1: зачем имея сквид, заворачивать юзеров на НАТ?
вопрос №2: почему не попробовать сделать два NAT интерфейса? один заворачивается на rl0, второй на ppp0 (или кто там у вас модем :) ) |
|
| Вернуться к началу |
|
|
sulimov
Зарегистрирован: 23.03.2005
Сообщения: 6
|
| Добавлено: Ср Мар 23 2005 17:50 Заголовок сообщения: Re: FreeBSD + ADSL + ppp перенаправление пользователей |
|
|
| squirL писал(а): | | вопрос №1: зачем имея сквид, заворачивать юзеров на НАТ? |
1. Чтобы научится настраивать все.
2. Кроме HTTP есть ICQ, FTP, IRC, P2P... не все squid поддерживает на сколько я знаю
3. Я не знаю как настроить squid чтобы он ходил в зависимости от пользователя на разные интерфейсы. tcp_outgoing_interface $ppp0_ip 192.168.0.2 не помогло
| squirL писал(а): | вопрос №2: почему не попробовать сделать два NAT интерфейса? один заворачивается на rl0, второй на ppp0 (или кто там у вас модем  ) |
Вот об этом я и спрашиваю, что бы поподробнее объянили как это сделать
сделал я:
1. natd -p 8672 -n ppp0
2. а вот игра правилами ipfw результата не дала. |
|
| Вернуться к началу |
|
|
sedfom
Зарегистрирован: 04.11.2002
Сообщения: 309
Откуда: Moscow
|
| Добавлено: Ср Мар 23 2005 23:46 Заголовок сообщения: лень противоположность профессионализма |
|
|
sulimov
| Цитата: |
2. а вот игра правилами ipfw результата не дала.
|
Дык играть надо по правилам, а не ими
Поиск Вам в помощь, наберите туда ipfw и вперед учиться  |
|
| Вернуться к началу |
|
|
sulimov
Зарегистрирован: 23.03.2005
Сообщения: 6
|
| Добавлено: Чт Мар 24 2005 10:27 Заголовок сообщения: |
|
|
| Огромное спасибо за Вашу огромную помощь. |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Чт Мар 24 2005 11:00 Заголовок сообщения: |
|
|
Я не знаю, как это сделать средствами ipfw, мне кажется вариант с двумя интерфейсами для NAT хорошим. Но если речь идет именно за ipfw, то вот это мне ОЧЕНЬ помогает, посмотри, не побрезгуй
E:\Unix learn\FBSD\AllFBSD\All BSD\Secure\BSD ipfw-firewall\www_HUB_ru - Сайт о Домашних Сетях1.htm
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
|
| Вернуться к началу |
|
|
sulimov
Зарегистрирован: 23.03.2005
Сообщения: 6
|
| Добавлено: Чт Мар 24 2005 11:50 Заголовок сообщения: |
|
|
Спасибо dio. Читал я эту статью (на opennet.ru находил и много похожих), но не дает мне это никаких результатов.
вот линк, в котором я еще понимаю описанные правила, но это не работает 
http://www.opennet.ru/base/net/2_channel_balancing.txt.html
ppp0 = 213.130.14.55 шлюз 213.130.14.19
//Запустили еще один NAT на порту 8672 для ppp0
natd -a ppp0 -p 8672
//Все пакеты с 192.168.0.2 перправляем на NAT
ipfw add 20 divert 8672 ip from 192.168.0.2 to any
//Все пакеты с ppp0 форвардим на шлюз ppp0
ipfw add 50 fwd 213.130.14.19 ip from 213.130.14.55 to any
//Все что приходит с ppp0 отправляем на NAT
ipfw add 60 divert 8672 ip from any to 213.130.14.55 |
|
| Вернуться к началу |
|
|
sedfom
Зарегистрирован: 04.11.2002
Сообщения: 309
Откуда: Moscow
|
| Добавлено: Чт Мар 24 2005 18:38 Заголовок сообщения: учиться, учиться и еще раз учиться... |
|
|
Плачевная у Вас ситуация sulimov
NAT - механизм транслирующий приватные адреса по ВСЕМ входным портам в один реальный адрес с тем же портом. Т.е. запрос от клиента с адресом 192.168.0.2 на ресурс http://www.ya.ru (80 порт), транслируется в запрос от клиента 172.17.17.2 (адрес natd_interface) на ресурс http://www.ya.ru (80 порт). Запрос от клиента с адресом 192.168.0.2 на ресурс ftp://ftp.ya.ru (21 порт), транслируется в запрос от клиента 172.17.17.2 (адрес natd_interface) на ресурс ftp://ftp.ya.ru (21 порт).
А теперь подумайте как Вы хотите посадить NAT на определенный порт?
Мне лично кажется, что для Вашей ситуации проще пока отдать модем клиенту 192,168,0,2, а всю остальную сеть выпустить через ADSL , тем более, что Вы это уже делали |
|
| Вернуться к началу |
|
|
sulimov
Зарегистрирован: 23.03.2005
Сообщения: 6
|
|
| Вернуться к началу |
|
|
sedfom
Зарегистрирован: 04.11.2002
Сообщения: 309
Откуда: Moscow
|
| Добавлено: Чт Мар 24 2005 23:35 Заголовок сообщения: Ну чтож, давайте будем искать ошибки. |
|
|
Ну чтож, давайте будем искать ошибки.
1. Настроен ли модем (пробовали выходить с него в интернет из FreeBSD)
2. выкладывайте конфигурационный файл файрвола (целиком ) |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Пт Мар 25 2005 10:23 Заголовок сообщения: |
|
|
И я прошу вас продолжить эту тему, не пропадать, мне очень интересно и поучительно.
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Пн Мар 28 2005 10:34 Заголовок сообщения: |
|
|
up
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
sulimov
Зарегистрирован: 23.03.2005
Сообщения: 6
|
| Добавлено: Пт Апр 01 2005 18:25 Заголовок сообщения: |
|
|
Итого рабочий вариант:
1 Канал ip 172.17.17.2 шлюз 172.17.17.1
2 Канал ip 213.130.14.146 шлюз 213.130.14.21
#Роутинг по умолчанию
route add default 172.17.17.2
#Для второго канала
route add default 213.130.14.0 -netmask 255.255.255.0 interface ppp0
#Для DNS через ADSL
route add default 195.248.191.0 -netmask 255.255.255.0 gateway 172.17.17.1
#Включение NAT для клиентов
файл ipnat.rules
map ppp0 192.168.0.1/255.255.255.255 -> 213.130.14.146/32
map xl0 192.168.0.2/255.255.255.255 -> 172.17.17.2/32
#Загрузка конф.
ipnat -CF -f ipnat.rules
#Перенаправление клиентов в каналы
ipfw add 100 fwd 213.130.14.21 ip from 192.168.0.1 to any
ipfw add 200 fwd 172.17.17.1 ip from 192.168.0.2 to any
ВОПРОС
Как настроить squid чтобы в зависимости от ip клиента использовался 1 или 2 канал.
tcp_outgoing_adress 213.130.14.146 не помагает направить запросы на второй канал (по умолчанию роутинг на 1 канал)
|
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Ср Апр 06 2005 08:14 Заголовок сообщения: |
|
|
где господин sedfom?
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
sedfom
Зарегистрирован: 04.11.2002
Сообщения: 309
Откуда: Moscow
|
| Добавлено: Ср Апр 06 2005 09:15 Заголовок сообщения: тута |
|
|
Я вообще не пользовался настройками Squida при двух внешних каналах. Прочитав последнее сообщение sulimov
| Цитата: |
tcp_outgoing_adress 213.130.14.146 не помагает направить запросы на второй канал (по умолчанию роутинг на 1 канал)
|
ИМХО здесь нужно писать 213.130.14.21 вместо 213.130.14.146
Что касается роутинга то ИМХО default gateway может быть только один
Посему из
| Цитата: |
#Роутинг по умолчанию
route add default 172.17.17.2
#Для второго канала
route add default 213.130.14.0 -netmask 255.255.255.0 interface ppp0
#Для DNS через ADSL
route add default 195.248.191.0 -netmask 255.255.255.0 gateway 172.17.17.1
|
Действующим шлюзом по умолчанию будет последняя из строка из тех которые реально сработают. Т.е. ИМХО
route add default 172.17.17.2 -сработает 100%
А вот эти строки не уверен
route add default 213.130.14.0 -netmask 255.255.255.0 interface ppp0
#Для DNS через ADSL
route add default 195.248.191.0 -netmask 255.255.255.0 gateway 172.17.17.1
Вывод: Я согласен со статьей по базовой инфе которую запостил господин sulimov (link)
Нужно пользоваться директивами fwd для файрвола при организации такого рода маршрутов |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Ср Апр 06 2005 09:48 Заголовок сообщения: |
|
|
так согласен или нет со статьей - я не допонял, прошу прощения....
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Чт Апр 07 2005 09:39 Заголовок сообщения: |
|
|
а где теперь господин sulimov?
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Чт Апр 07 2005 13:35 Заголовок сообщения: |
|
|
Забей на tcp_outgoing_adress
Это тебе никаким местом не поможет.
squid выставит его в качестве исходящего, а как пойдут пакеты определяется сетевой политикой, которой рулит ipfw.
Я не силен в FreeBSD, но аналогичная задача такого хитрого разруливания трафика довольно легко решается на Linux и помощью iproute2, iptables и cbq.
Что знал - сказал. |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Чт Апр 07 2005 16:46 Заголовок сообщения: |
|
|
| and3008 писал(а): | Забей на tcp_outgoing_adress
Это тебе никаким местом не поможет.
squid выставит его в качестве исходящего, а как пойдут пакеты определяется сетевой политикой, которой рулит ipfw.
Я не силен в FreeBSD, но аналогичная задача такого хитрого разруливания трафика довольно легко решается на Linux и помощью iproute2, iptables и cbq.
Что знал - сказал. |
Мои глаза не могли этого видеть!!! and3008 не силен в чем - то??? Я скажу как Станиславский - "НЕ ВЕРЮ!!!" 
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Чт Апр 07 2005 16:52 Заголовок сообщения: |
|
|
я немного не в тему - простите. Сюдя по всему у and3008 сейчас настроение вроде ничего...может поможешь по CGP? А то я так юзверей и завожу руками(тема migration)...скоро руки как у дровосека будут
или как у Челентано в фильме "Укрощение строптивой", только по другой причине... юзверей около 3 тысяч....  извините...
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Чт Апр 07 2005 21:27 Заголовок сообщения: |
|
|
Вышли мне на мыло свой passwd и shadow.
Сделаю тебе файл, раз ты, ленища такая не можешь, разобраться.
В ответ получишь файл, который скормишь CGP. |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Пт Апр 08 2005 08:14 Заголовок сообщения: |
|
|
УРА!!! Шлю! Не ленища я...смарта не хватает.... 
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
