Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
Архив форумов ЦИТФорума
Море(!) вопросов - Море(!) ответов
 
 FAQFAQ   ПоискПоиск   ПользователиПользователи   ГруппыГруппы   РегистрацияРегистрация 
 ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 
Как правильно задавать вопросы

Помогите разрулить два канала Internet

 
Перейти:  
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Архив форумов ЦИТФорума -> Сети
Предыдущая тема :: Следующая тема  
Автор Сообщение
dwarlock



Зарегистрирован: 25.03.2003
Сообщения: 10
СообщениеДобавлено: Вт Мар 25 2003 12:28    Заголовок сообщения: Помогите разрулить два канала Internet Ответить с цитатой
Здравствуйте.
Помогите пожалуйста, разобраться со следующей ситуацией:

У меня есть машина под FreeBSD, на ней 4 сетевые карты

1 - 212.164.168.100 смотрит на 1-ую сеть 212.164.168.64 (маска 255.255.255.192)
2 - 212.164.168.245 (маска 255.255.255.252) соединена с интерфейсом маршрутизатора Cisco (212.164.168.246 (маска 255.255.255.252), к которому подключен модем на веделенку)
3 - 62.76.12.130 смотрит на 2-ую сеть 62.76.12.128 (маска 255.255.255.240)
4 - 62.76.12.131 соединена с интерфейсом другого маршрутизатора 62.76.12.129 (маска 255.255.255.240), который также смотрит в интернет.

Все компьютеры имеют реальные адреса. Сети 62.76.12.0 и 212.164.168.0 разделены физически и не соприкасаются, только выще описанные карты находятся на одной машине.

Подскажите пожалуйста как мне разрулить эти каналы доступа в интернет.

Я пробовал
getway_enable="YES"
отключаю defaultroute
и
ipfw add fwd 212.164.168.246 ip from 212.164.168.64/26 to any
и
ipfw add fwd 62.76.12.129 ip from 62.76.12.128/28 to any

Не помогло. Пакеты даже не проходят через эти правила (счетчик пакетов на ноль),мучаюсь уже не первую неделю Smile))

Заранее благодарен за любую помощь.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Dmitry.Karpov http://prof
Гость
СообщениеДобавлено: Вт Мар 25 2003 15:41    Заголовок сообщения: А через какие правила они проходят? Ответить с цитатой
Как говорил, кажется, Швейк "Должно же быть как-то - ведь не может быть, чтоб никак не было". При наличиии FireWall д.б. последнее правило: либо allow, либо deny от всех ко всем. Так что смотри, на какое правило попадают эти пакеты. При тестировании можно вставить 'ipfw add count ...' между всеми правилами.

Хочешь узнать больше - гони сюда результаты 'ipfw show'.
Вернуться к началу
Valera
Гость
СообщениеДобавлено: Ср Мар 26 2003 04:04    Заголовок сообщения: А роутер настроен? (+) Ответить с цитатой
подними routed, добавь правила, в смысде что ты хочешь, а потом ipfw настраивай.
вместо routed можно gated или zebra.
Вернуться к началу
dwarlock



Зарегистрирован: 25.03.2003
Сообщения: 10
СообщениеДобавлено: Ср Мар 26 2003 06:09    Заголовок сообщения: Re: А через какие правила они проходят? Ответить с цитатой
Большое спасибо, что прочел мое собщение.

Я делал, вообще, очень просто.

1)ipfw add fwd 212.164.168.246 ip from 212.164.168.64/26 to any
2)ipfw add allow all from any to any
только для одного канала
убирал строчку defaultrouter="212.164.168.246" из rc.conf
все. Также в rc.conf firewall_enable="YES"
выше указанные правила напрямую прописывал в
rc.firewall.

Небольшая ремарка.
Если использовать связку nat и ipfw,то все прекрасно работает
сейчас у меня несколько адресов из сети 212.164.168.64.26 выходя черех канал 62.76.12.129 следующим образом

в rc.conf
natd_enable="YES"
natd_interface="xl1"(62.76.12.13 0 напрямую связан с 62.76.12.129)
правила в rc.firewall
1)ipfw add divert natd ip from 212.164.168.77 to any (к примеру)
2)ipfw add fwd 62.76.12.129 ip from 62.76.12.130 to any
3)ipfw add divert natd ip from any to 62.76.12.130
Все работае, но уменя все компьютеры имеют реальные адреса как в одной так и вдругой сети.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
dwarlock



Зарегистрирован: 25.03.2003
Сообщения: 10
СообщениеДобавлено: Ср Мар 26 2003 06:14    Заголовок сообщения: Связка natd - ipfw, но хотелось бы с реальными адресами Ответить с цитатой
Большое спасибо, что прочел мое собщение.

Дело в том что, если использовать связку nat и ipfw,то все прекрасно работает
сейчас у меня несколько адресов из сети 212.164.168.64.26 выходя черех канал 62.76.12.129 следующим образом

в rc.conf
natd_enable="YES"
natd_interface="xl1"(62.76.12.13 0 напрямую связан с 62.76.12.129)
правила в rc.firewall
1)ipfw add divert natd ip from 212.164.168.77 to any (к примеру)
2)ipfw add fwd 62.76.12.129 ip from 62.76.12.130 to any
3)ipfw add divert natd ip from any to 62.76.12.130
Все работае, но уменя все компьютеры имеют реальные адреса как в одной так и вдругой сети.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Dmitry.Karpov http://prof
Гость
СообщениеДобавлено: Ср Мар 26 2003 12:16    Заголовок сообщения: А Динамический роутинг не подойдет? Ответить с цитатой
1) Если оба провайдера нормальные, то можно настроить динамическую маршрутизацию (routed, gated или zebra), и тогда IP-пакеты будут уходить кратчайшим маршрутом независимо от источника.

2) NAT перевел все твои машины в один IP-номер, так что проблема исчезла, но нагружен в таком случае будет только один канал. А зачем вам второй канал?

3) Что говорит traceroute (tracert)?

4) Где вывод 'ipfw show'? Неужели у тебя там нет правил 'allow' для 'tcp established' и для 127.*.*.*/lo0?
Вернуться к началу
dwarlock



Зарегистрирован: 25.03.2003
Сообщения: 10
СообщениеДобавлено: Чт Мар 27 2003 06:47    Заголовок сообщения: Ситуация на данный момент такая.... Ответить с цитатой
Две организации, сеть 212.164.168.0 все машины ходили через шлюз 212.164.168.100(xl0), у которого в свою очередь шлюз 212.164.168.246 (на cisco интерфейс Ethernet0) напрямую соединен 212.164.168.245(ed0). ed0 и xl0 стоят на одной машине FreeBSD.

Недавно появился еще один провайдер выделил сеть 62.76.12.0 (DNS 62.76.0.1 62.76.0.26, шлюз 62.76.12.129(радио изернет)), разделили сеть физически(точнее хотим разделть), соответственно вторую организацию пустили по 62.76.12.0, а первую оставили на 212.164.168.0

B rc.conf

...
ifconfig_xl0="inet 212.164.168.98 netmask 255.255.255.192"
ifconfig_xl0_alias0="inet 212.164.168.100 netmask 255.255.255.255"

ifconfig_xl1="inet 62.76.12.130 netmask 255.255.255.240"
ifconfig_ed0="inet 212.164.168.245 netmask 255.255.255.252"
defaultrouter="212.164.168.246"

...
ga teway_enable="YES"
..
natd_enable="YES"
natd_interface="x l1"
firewall_enable="YES"
firewall_logging="YES"

на cisco есть следующие маршруты
ip route 0.0.0.0 0.0.0.0 Serial0
ip route 212.164.168.0 255.255.255.0 Null0 250
ip route 212.164.168.64 255.255.255.192 212.164.168.245
ip route 212.164.168.248 255.255.255.252 212.164.168.245

Так вот сейчас те машины которые принадлежат второй организации имеют адреса из 212.164.168.0 но через natd ходят по каналу прова (62.76.12.0)
А первая так и осталась через defaulrouter.

Хотелось бы вообще разделить эти каналы как я писал ранее убрать defaultrouter, и с помощью
fwd разрулить каналы.

ipfw show:
00100 492 51416 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
...
10600 68853 3822874 divert 8668 ip from 212.164.168.69 to any
10700 divert 8668 ip from 212.164.168.70 to any
10800 divert 8668 ip from 212.164.168.72 to any
10900 1075 133272 divert 8668 ip from 212.164.168.78 to any
11000 12643 1132718 divert 8668 ip from 212.164.168.84 to any
11100 754325 59129526 divert 8668 ip from 212.164.168.88 to any
11200 divert 8668 ip from 212.164.168.91 to any
11300 439 44953 divert 8668 ip from 212.164.168.93 to any
11400 34914 27672113 divert 8668 ip from 212.164.168.94 to any
11500 28513 3188764 divert 8668 ip from 212.164.168.95 to any
11600 41 5641 divert 8668 ip from 212.164.168.96 to any
11700 61 8186 divert 8668 ip from 212.164.168.103 to any
11800 26 5399 divert 8668 ip from 212.164.168.104 to any
11900 147 18800 divert 8668 ip from 212.164.168.105 to any
12000 5923 511521 divert 8668 ip from 212.164.168.106 to any
12100 84 10915 divert 8668 ip from 212.164.168.107 to any
12200 40 5228 divert 8668 ip from 212.164.168.110 to any
12300 divert 8668 ip from 212.164.168.111 to any
12400 449370 47499006 fwd 62.76.12.129 ip from 62.76.12.130 to any
12500 124112 94426483 divert 8668 ip from any to 62.76.12.130
12 ...
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
dwarlock



Зарегистрирован: 25.03.2003
Сообщения: 10
СообщениеДобавлено: Чт Мар 27 2003 06:54    Заголовок сообщения: Ситуация на данный момент такая.. Ответить с цитатой
12500 124112 94426483 divert 8668 ip from any to 62.76.12.130
12600 66 17394 allow udp from 62.76.0.1 53 to 212.164.168.69
12700 196 20914 allow udp from 62.76.0.26 53 to 212.164.168.69
12800 33 2058 allow udp from 212.164.168.69 to 62.76.0.1 53
12900 102 6491 allow udp from 212.164.168.69 to 62.76.0.26 53
13000 allow udp from 62.76.0.1 53 to 212.164.168.70
13100 allow udp from 62.76.0.26 53 to 212.164.168.70
13200 allow udp from 212.164.168.70 to 62.76.0.1 53
13300 allow udp from 212.164.168.70 to 62.76.0.26 53
13400 allow udp from 62.76.0.1 53 to 212.164.168.72
13500 allow udp from 62.76.0.26 53 to 212.164.168.72
13600 allow udp from 212.164.168.72 to 62.76.0.1 53
13700 allow udp from 212.164.168.72 to 62.76.0.26 53
13800 28 5518 allow udp from 62.76.0.1 53 to 212.164.168.78
13900 4 302 allow udp from 62.76.0.26 53 to 212.164.168.78
14000 15 919 allow udp from 212.164.168.78 to 62.76.0.1 53
14100 2 119 allow udp from 212.164.168.78 to 62.76.0.26 53
14200 164 27198 allow udp from 62.76.0.1 53 to 212.164.168.84
14300 allow udp from 62.76.0.26 53 to 212.164.168.84
14400 87 5260 allow udp from 212.164.168.84 to 62.76.0.1 53
14500 allow udp from 212.164.168.84 to 62.76.0.26 53
14600 11402 1272092 allow udp from 62.76.0.1 53 to 212.164.168.88
14700 4808 315124 allow udp from 62.76.0.26 53 to 212.164.168.88
14800 5743 382599 allow udp from 212.164.168.88 to 62.76.0.1 53
14900 5833 386591 allow udp from 212.164.168.88 to 62.76.0.26 53
15000 allow udp from 62.76.0.1 53 to 212.164.168.91
15100 allow udp from 62.76.0.26 53 to 212.164.168.91
15200 allow udp from 212.164.168.91 to 62.76.0.1 53
15300 allow udp from 212.164.168.91 to 62.76.0.26 53
15400 allow udp from 62.76.0.1 53 to 212.164.168.93
15500 allow udp from 62.76.0.26 53 to 212.164.168.93
15600 allow udp from 212.164.168.93 to 62.76.0.1 53
15700 allow udp from 212.164.168.93 to 62.76.0.26 53
15800 378 71034 allow udp from 62.76.0.1 53 to 212.164.168.94
15900 allow udp from 62.76.0.26 53 to 212.164.168.94
16000 207 12692 allow udp from 212.164.168.94 to 62.76.0.1 53
16100 allow udp from 212.164.168.94 to 62.76.0.26 53
16200 630 114880 allow udp from 62.76.0.1 53 to 212.164.168.95
16300 allow udp from 62.76.0.26 53 to 212.164.168.95
16400 359 22106 allow udp from 212.164.168.95 to 62.76.0.1 53
16500 allow udp from 212.164.168.95 to 62.76.0.26 53
16600 8 956 allow udp from 62.76.0.1 53 to 212.164.168.96
16700 allow udp from 62.76.0. ...
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
dwarlock



Зарегистрирован: 25.03.2003
Сообщения: 10
СообщениеДобавлено: Чт Мар 27 2003 06:57    Заголовок сообщения: Ситуация на данный момент такая... (продолжение не вместился ipfw show) :)))) Ответить с цитатой
16800 4 286 allow udp from 212.164.168.96 to 62.76.0.1 53
16900 allow udp from 212.164.168.96 to 62.76.0.26 53
17000 2 388 allow udp from 62.76.0.1 53 to 212.164.168.103
17100 2 208 allow udp from 62.76.0.26 53 to 212.164.168.103
17200 2 124 allow udp from 212.164.168.103 to 62.76.0.1 53
17300 1 62 allow udp from 212.164.168.103 to 62.76.0.26 53
17400 allow udp from 62.76.0.1 53 to 212.164.168.104
17500 allow udp from 62.76.0.26 53 to 212.164.168.104
17600 allow udp from 212.164.168.104 to 62.76.0.1 53
17700 allow udp from 212.164.168.104 to 62.76.0.26 53
17800 allow udp from 62.76.0.1 53 to 212.164.168.105
17900 allow udp from 62.76.0.26 53 to 212.164.168.105
18000 allow udp from 212.164.168.105 to 62.76.0.1 53
18100 allow udp from 212.164.168.105 to 62.76.0.26 53
18200 36 6452 allow udp from 62.76.0.1 53 to 212.164.168.106
18300 40 3256 allow udp from 62.76.0.26 53 to 212.164.168.106
18400 18 1114 allow udp from 212.164.168.106 to 62.76.0.1 53
18500 20 1231 allow udp from 212.164.168.106 to 62.76.0.26 53
18600 2 628 allow udp from 62.76.0.1 53 to 212.164.168.107
18700 allow udp from 62.76.0.26 53 to 212.164.168.107
18800 1 62 allow udp from 212.164.168.107 to 62.76.0.1 53
18900 allow udp from 212.164.168.107 to 62.76.0.26 53
19000 allow udp from 62.76.0.1 53 to 212.164.168.110
19100 allow udp from 62.76.0.26 53 to 212.164.168.110
19200 allow udp from 212.164.168.110 to 62.76.0.1 53
19300 allow udp from 212.164.168.110 to 62.76.0.26 53
19400 allow udp from 62.76.0.1 53 to 212.164.168.111
19500 allow udp from 62.76.0.26 53 to 212.164.168.111
19600 allow udp from 212.164.168.111 to 62.76.0.1 53
19700 allow udp from 212.164.168.111 to 62.76.0.26 53
19800 deny udp from 212.164.168.69 to 212.164.168.98 53
19900 deny udp from 212.164.168.98 53 to 212.164.168.69
20000 deny udp from 212.164.168.70 to 212.164.168.98 53
20100 deny udp from 212.164.168.98 53 to 212.164.168.70
20200 deny udp from 212.164.168.72 to 212.164.168.98 53
20300 deny udp from 212.164.168.98 53 to 212.164.168.72
20400 15 905 deny udp from 212.164.168.78 to 212.164.168.98 53
20500 deny udp from 212.164.168.98 53 to 212.164.168.78
20600 deny udp from 212.164.168.84 to 212.164.168.98 53
20700 deny udp from 212.164.168.98 53 to 212.164.168.84
20800 deny udp from 212.164.168.88 to 212.164.168.98 53
20900 deny udp from 212.16 ...
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
dwarlock



Зарегистрирован: 25.03.2003
Сообщения: 10
СообщениеДобавлено: Чт Мар 27 2003 06:59    Заголовок сообщения: Ситуация на данный момент.... Ответить с цитатой
20900 deny udp from 212.164.168.98 53 to 212.164.168.88
21000 deny udp from 212.164.168.91 to 212.164.168.98 53
21100 deny udp from 212.164.168.98 53 to 212.164.168.91
21200 153 10293 deny udp from 212.164.168.93 to 212.164.168.98 53
21300 deny udp from 212.164.168.98 53 to 212.164.168.93
21400 deny udp from 212.164.168.94 to 212.164.168.98 53
21500 deny udp from 212.164.168.98 53 to 212.164.168.94
21600 deny udp from 212.164.168.95 to 212.164.168.98 53
21700 deny udp from 212.164.168.98 53 to 212.164.168.95
21800 deny udp from 212.164.168.96 to 212.164.168.98 53
21900 deny udp from 212.164.168.98 53 to 212.164.168.96
22000 deny udp from 212.164.168.103 to 212.164.168.98 53
22100 deny udp from 212.164.168.98 53 to 212.164.168.103
22200 deny udp from 212.164.168.104 to 212.164.168.98 53
22300 deny udp from 212.164.168.98 53 to 212.164.168.104
22400 deny udp from 212.164.168.105 to 212.164.168.98 53
22500 deny udp from 212.164.168.98 53 to 212.164.168.105
22600 deny udp from 212.164.168.106 to 212.164.168.98 53
22700 deny udp from 212.164.168.98 53 to 212.164.168.106
22800 deny udp from 212.164.168.107 to 212.164.168.98 53
22900 deny udp from 212.164.168.98 53 to 212.164.168.107
23000 deny udp from 212.164.168.110 to 212.164.168.98 53
23100 deny udp from 212.164.168.98 53 to 212.164.168.110
23200 deny udp from 212.164.168.111 to 212.164.168.98 53
23300 deny udp from 212.164.168.98 53 to 212.164.168.111
23400 11561 577420 allow tcp from 212.164.168.64/26 to any setup
23500 493742 350719374 allow tcp from any to any established
23600 allow tcp from any to any frag
23700 394564 30614792 allow ip from any to any via xl0
23800 1439 92950 allow ip from 212.164.168.245 to any
23900 8 248 allow ip from 212.164.168.99 to any
24000 1263 130987 allow ip from 212.164.168.98 to any
24100 7 196 allow ip from 212.164.168.97 to any

далее разрешаются сновный порты типа 20, 80, 25 и тд.

Теперь traceroute:
если сделать

....правила типа 127.0.0.1, lo0..
....
ipfw add fwd 212.164.168.246 ip from 212.164.168.64/26 to any
ipfw add allow all from any to any
....

то tracert 212.164.168.246 проходит,
но уже tracert 217.106.20.89 (адрес интерфейса Serial0/5 cisco прова) пишет
1
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
dwarlock



Зарегистрирован: 25.03.2003
Сообщения: 10
СообщениеДобавлено: Чт Мар 27 2003 07:01    Заголовок сообщения: Конец сообщения :)))) Ответить с цитатой
то tracert 212.164.168.246 проходит,
но уже tracert 217.106.20.89 (адрес интерфейса Serial0/5 cisco прова) пишет
1
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
dwarlock



Зарегистрирован: 25.03.2003
Сообщения: 10
СообщениеДобавлено: Чт Мар 27 2003 09:28    Заголовок сообщения: Может быть проблема в маршрутах роутера? Ответить с цитатой
Так как связка natd и ipfw работает, то разницы нет форвардить один адрес(62.76.12.130) или всю сеть 212.164.168.0
а такак xl1 подключен к радио изернет, а настройки на радио изернт сделал пров

То может быть проблема в маршрутах роутера Cisco, которая соединяет сеть 212.164.168.0


С уважением, Семен.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Показать сообщения:   
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Архив форумов ЦИТФорума -> Сети Часовой пояс: GMT + 3
Страница 1 из 1

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах


Powered by phpBB © 2001, 2002 phpBB Group
Русская поддержка phpBB

 

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 495 6608306, ICQ 232284597 		Пресс-релизы — pr@citforum.ru
Послать комментарий
Информация для авторов 		This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2006 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...