Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
dwarlock
Зарегистрирован: 25.03.2003 Сообщения: 10
|
Добавлено: Вт Мар 25 2003 12:28 Заголовок сообщения: Помогите разрулить два канала Internet |
|
|
Здравствуйте. Помогите пожалуйста, разобраться со следующей ситуацией:
У меня есть машина под FreeBSD, на ней 4 сетевые карты
1 - 212.164.168.100 смотрит на 1-ую сеть 212.164.168.64 (маска 255.255.255.192) 2 - 212.164.168.245 (маска 255.255.255.252) соединена с интерфейсом маршрутизатора Cisco (212.164.168.246 (маска 255.255.255.252), к которому подключен модем на веделенку) 3 - 62.76.12.130 смотрит на 2-ую сеть 62.76.12.128 (маска 255.255.255.240) 4 - 62.76.12.131 соединена с интерфейсом другого маршрутизатора 62.76.12.129 (маска 255.255.255.240), который также смотрит в интернет.
Все компьютеры имеют реальные адреса. Сети 62.76.12.0 и 212.164.168.0 разделены физически и не соприкасаются, только выще описанные карты находятся на одной машине.
Подскажите пожалуйста как мне разрулить эти каналы доступа в интернет.
Я пробовал getway_enable="YES" отключаю defaultroute и ipfw add fwd 212.164.168.246 ip from 212.164.168.64/26 to any и ipfw add fwd 62.76.12.129 ip from 62.76.12.128/28 to any
Не помогло. Пакеты даже не проходят через эти правила (счетчик пакетов на ноль),мучаюсь уже не первую неделю ))
Заранее благодарен за любую помощь. |
|
Вернуться к началу |
|
|
Dmitry.Karpov http://prof Гость
|
Добавлено: Вт Мар 25 2003 15:41 Заголовок сообщения: А через какие правила они проходят? |
|
|
Как говорил, кажется, Швейк "Должно же быть как-то - ведь не может быть, чтоб никак не было". При наличиии FireWall д.б. последнее правило: либо allow, либо deny от всех ко всем. Так что смотри, на какое правило попадают эти пакеты. При тестировании можно вставить 'ipfw add count ...' между всеми правилами.
Хочешь узнать больше - гони сюда результаты 'ipfw show'. |
|
Вернуться к началу |
|
|
Valera Гость
|
Добавлено: Ср Мар 26 2003 04:04 Заголовок сообщения: А роутер настроен? (+) |
|
|
подними routed, добавь правила, в смысде что ты хочешь, а потом ipfw настраивай. вместо routed можно gated или zebra. |
|
Вернуться к началу |
|
|
dwarlock
Зарегистрирован: 25.03.2003 Сообщения: 10
|
Добавлено: Ср Мар 26 2003 06:09 Заголовок сообщения: Re: А через какие правила они проходят? |
|
|
Большое спасибо, что прочел мое собщение.
Я делал, вообще, очень просто.
1)ipfw add fwd 212.164.168.246 ip from 212.164.168.64/26 to any 2)ipfw add allow all from any to any только для одного канала убирал строчку defaultrouter="212.164.168.246" из rc.conf все. Также в rc.conf firewall_enable="YES" выше указанные правила напрямую прописывал в rc.firewall.
Небольшая ремарка. Если использовать связку nat и ipfw,то все прекрасно работает сейчас у меня несколько адресов из сети 212.164.168.64.26 выходя черех канал 62.76.12.129 следующим образом
в rc.conf natd_enable="YES" natd_interface="xl1"(62.76.12.13 0 напрямую связан с 62.76.12.129) правила в rc.firewall 1)ipfw add divert natd ip from 212.164.168.77 to any (к примеру) 2)ipfw add fwd 62.76.12.129 ip from 62.76.12.130 to any 3)ipfw add divert natd ip from any to 62.76.12.130 Все работае, но уменя все компьютеры имеют реальные адреса как в одной так и вдругой сети. |
|
Вернуться к началу |
|
|
dwarlock
Зарегистрирован: 25.03.2003 Сообщения: 10
|
Добавлено: Ср Мар 26 2003 06:14 Заголовок сообщения: Связка natd - ipfw, но хотелось бы с реальными адресами |
|
|
Большое спасибо, что прочел мое собщение.
Дело в том что, если использовать связку nat и ipfw,то все прекрасно работает сейчас у меня несколько адресов из сети 212.164.168.64.26 выходя черех канал 62.76.12.129 следующим образом
в rc.conf natd_enable="YES" natd_interface="xl1"(62.76.12.13 0 напрямую связан с 62.76.12.129) правила в rc.firewall 1)ipfw add divert natd ip from 212.164.168.77 to any (к примеру) 2)ipfw add fwd 62.76.12.129 ip from 62.76.12.130 to any 3)ipfw add divert natd ip from any to 62.76.12.130 Все работае, но уменя все компьютеры имеют реальные адреса как в одной так и вдругой сети. |
|
Вернуться к началу |
|
|
Dmitry.Karpov http://prof Гость
|
Добавлено: Ср Мар 26 2003 12:16 Заголовок сообщения: А Динамический роутинг не подойдет? |
|
|
1) Если оба провайдера нормальные, то можно настроить динамическую маршрутизацию (routed, gated или zebra), и тогда IP-пакеты будут уходить кратчайшим маршрутом независимо от источника.
2) NAT перевел все твои машины в один IP-номер, так что проблема исчезла, но нагружен в таком случае будет только один канал. А зачем вам второй канал?
3) Что говорит traceroute (tracert)?
4) Где вывод 'ipfw show'? Неужели у тебя там нет правил 'allow' для 'tcp established' и для 127.*.*.*/lo0? |
|
Вернуться к началу |
|
|
dwarlock
Зарегистрирован: 25.03.2003 Сообщения: 10
|
Добавлено: Чт Мар 27 2003 06:47 Заголовок сообщения: Ситуация на данный момент такая.... |
|
|
Две организации, сеть 212.164.168.0 все машины ходили через шлюз 212.164.168.100(xl0), у которого в свою очередь шлюз 212.164.168.246 (на cisco интерфейс Ethernet0) напрямую соединен 212.164.168.245(ed0). ed0 и xl0 стоят на одной машине FreeBSD.
Недавно появился еще один провайдер выделил сеть 62.76.12.0 (DNS 62.76.0.1 62.76.0.26, шлюз 62.76.12.129(радио изернет)), разделили сеть физически(точнее хотим разделть), соответственно вторую организацию пустили по 62.76.12.0, а первую оставили на 212.164.168.0
B rc.conf
... ifconfig_xl0="inet 212.164.168.98 netmask 255.255.255.192" ifconfig_xl0_alias0="inet 212.164.168.100 netmask 255.255.255.255"
ifconfig_xl1="inet 62.76.12.130 netmask 255.255.255.240" ifconfig_ed0="inet 212.164.168.245 netmask 255.255.255.252" defaultrouter="212.164.168.246"
... ga teway_enable="YES" .. natd_enable="YES" natd_interface="x l1" firewall_enable="YES" firewall_logging="YES"
на cisco есть следующие маршруты ip route 0.0.0.0 0.0.0.0 Serial0 ip route 212.164.168.0 255.255.255.0 Null0 250 ip route 212.164.168.64 255.255.255.192 212.164.168.245 ip route 212.164.168.248 255.255.255.252 212.164.168.245
Так вот сейчас те машины которые принадлежат второй организации имеют адреса из 212.164.168.0 но через natd ходят по каналу прова (62.76.12.0) А первая так и осталась через defaulrouter.
Хотелось бы вообще разделить эти каналы как я писал ранее убрать defaultrouter, и с помощью fwd разрулить каналы.
ipfw show: 00100 492 51416 allow ip from any to any via lo0 00200 deny ip from any to 127.0.0.0/8 00300 deny ip from 127.0.0.0/8 to any ... 10600 68853 3822874 divert 8668 ip from 212.164.168.69 to any 10700 divert 8668 ip from 212.164.168.70 to any 10800 divert 8668 ip from 212.164.168.72 to any 10900 1075 133272 divert 8668 ip from 212.164.168.78 to any 11000 12643 1132718 divert 8668 ip from 212.164.168.84 to any 11100 754325 59129526 divert 8668 ip from 212.164.168.88 to any 11200 divert 8668 ip from 212.164.168.91 to any 11300 439 44953 divert 8668 ip from 212.164.168.93 to any 11400 34914 27672113 divert 8668 ip from 212.164.168.94 to any 11500 28513 3188764 divert 8668 ip from 212.164.168.95 to any 11600 41 5641 divert 8668 ip from 212.164.168.96 to any 11700 61 8186 divert 8668 ip from 212.164.168.103 to any 11800 26 5399 divert 8668 ip from 212.164.168.104 to any 11900 147 18800 divert 8668 ip from 212.164.168.105 to any 12000 5923 511521 divert 8668 ip from 212.164.168.106 to any 12100 84 10915 divert 8668 ip from 212.164.168.107 to any 12200 40 5228 divert 8668 ip from 212.164.168.110 to any 12300 divert 8668 ip from 212.164.168.111 to any 12400 449370 47499006 fwd 62.76.12.129 ip from 62.76.12.130 to any 12500 124112 94426483 divert 8668 ip from any to 62.76.12.130 12 ... |
|
Вернуться к началу |
|
|
dwarlock
Зарегистрирован: 25.03.2003 Сообщения: 10
|
Добавлено: Чт Мар 27 2003 06:54 Заголовок сообщения: Ситуация на данный момент такая.. |
|
|
12500 124112 94426483 divert 8668 ip from any to 62.76.12.130 12600 66 17394 allow udp from 62.76.0.1 53 to 212.164.168.69 12700 196 20914 allow udp from 62.76.0.26 53 to 212.164.168.69 12800 33 2058 allow udp from 212.164.168.69 to 62.76.0.1 53 12900 102 6491 allow udp from 212.164.168.69 to 62.76.0.26 53 13000 allow udp from 62.76.0.1 53 to 212.164.168.70 13100 allow udp from 62.76.0.26 53 to 212.164.168.70 13200 allow udp from 212.164.168.70 to 62.76.0.1 53 13300 allow udp from 212.164.168.70 to 62.76.0.26 53 13400 allow udp from 62.76.0.1 53 to 212.164.168.72 13500 allow udp from 62.76.0.26 53 to 212.164.168.72 13600 allow udp from 212.164.168.72 to 62.76.0.1 53 13700 allow udp from 212.164.168.72 to 62.76.0.26 53 13800 28 5518 allow udp from 62.76.0.1 53 to 212.164.168.78 13900 4 302 allow udp from 62.76.0.26 53 to 212.164.168.78 14000 15 919 allow udp from 212.164.168.78 to 62.76.0.1 53 14100 2 119 allow udp from 212.164.168.78 to 62.76.0.26 53 14200 164 27198 allow udp from 62.76.0.1 53 to 212.164.168.84 14300 allow udp from 62.76.0.26 53 to 212.164.168.84 14400 87 5260 allow udp from 212.164.168.84 to 62.76.0.1 53 14500 allow udp from 212.164.168.84 to 62.76.0.26 53 14600 11402 1272092 allow udp from 62.76.0.1 53 to 212.164.168.88 14700 4808 315124 allow udp from 62.76.0.26 53 to 212.164.168.88 14800 5743 382599 allow udp from 212.164.168.88 to 62.76.0.1 53 14900 5833 386591 allow udp from 212.164.168.88 to 62.76.0.26 53 15000 allow udp from 62.76.0.1 53 to 212.164.168.91 15100 allow udp from 62.76.0.26 53 to 212.164.168.91 15200 allow udp from 212.164.168.91 to 62.76.0.1 53 15300 allow udp from 212.164.168.91 to 62.76.0.26 53 15400 allow udp from 62.76.0.1 53 to 212.164.168.93 15500 allow udp from 62.76.0.26 53 to 212.164.168.93 15600 allow udp from 212.164.168.93 to 62.76.0.1 53 15700 allow udp from 212.164.168.93 to 62.76.0.26 53 15800 378 71034 allow udp from 62.76.0.1 53 to 212.164.168.94 15900 allow udp from 62.76.0.26 53 to 212.164.168.94 16000 207 12692 allow udp from 212.164.168.94 to 62.76.0.1 53 16100 allow udp from 212.164.168.94 to 62.76.0.26 53 16200 630 114880 allow udp from 62.76.0.1 53 to 212.164.168.95 16300 allow udp from 62.76.0.26 53 to 212.164.168.95 16400 359 22106 allow udp from 212.164.168.95 to 62.76.0.1 53 16500 allow udp from 212.164.168.95 to 62.76.0.26 53 16600 8 956 allow udp from 62.76.0.1 53 to 212.164.168.96 16700 allow udp from 62.76.0. ... |
|
Вернуться к началу |
|
|
dwarlock
Зарегистрирован: 25.03.2003 Сообщения: 10
|
Добавлено: Чт Мар 27 2003 06:57 Заголовок сообщения: Ситуация на данный момент такая... (продолжение не вместился ipfw show) :)))) |
|
|
16800 4 286 allow udp from 212.164.168.96 to 62.76.0.1 53 16900 allow udp from 212.164.168.96 to 62.76.0.26 53 17000 2 388 allow udp from 62.76.0.1 53 to 212.164.168.103 17100 2 208 allow udp from 62.76.0.26 53 to 212.164.168.103 17200 2 124 allow udp from 212.164.168.103 to 62.76.0.1 53 17300 1 62 allow udp from 212.164.168.103 to 62.76.0.26 53 17400 allow udp from 62.76.0.1 53 to 212.164.168.104 17500 allow udp from 62.76.0.26 53 to 212.164.168.104 17600 allow udp from 212.164.168.104 to 62.76.0.1 53 17700 allow udp from 212.164.168.104 to 62.76.0.26 53 17800 allow udp from 62.76.0.1 53 to 212.164.168.105 17900 allow udp from 62.76.0.26 53 to 212.164.168.105 18000 allow udp from 212.164.168.105 to 62.76.0.1 53 18100 allow udp from 212.164.168.105 to 62.76.0.26 53 18200 36 6452 allow udp from 62.76.0.1 53 to 212.164.168.106 18300 40 3256 allow udp from 62.76.0.26 53 to 212.164.168.106 18400 18 1114 allow udp from 212.164.168.106 to 62.76.0.1 53 18500 20 1231 allow udp from 212.164.168.106 to 62.76.0.26 53 18600 2 628 allow udp from 62.76.0.1 53 to 212.164.168.107 18700 allow udp from 62.76.0.26 53 to 212.164.168.107 18800 1 62 allow udp from 212.164.168.107 to 62.76.0.1 53 18900 allow udp from 212.164.168.107 to 62.76.0.26 53 19000 allow udp from 62.76.0.1 53 to 212.164.168.110 19100 allow udp from 62.76.0.26 53 to 212.164.168.110 19200 allow udp from 212.164.168.110 to 62.76.0.1 53 19300 allow udp from 212.164.168.110 to 62.76.0.26 53 19400 allow udp from 62.76.0.1 53 to 212.164.168.111 19500 allow udp from 62.76.0.26 53 to 212.164.168.111 19600 allow udp from 212.164.168.111 to 62.76.0.1 53 19700 allow udp from 212.164.168.111 to 62.76.0.26 53 19800 deny udp from 212.164.168.69 to 212.164.168.98 53 19900 deny udp from 212.164.168.98 53 to 212.164.168.69 20000 deny udp from 212.164.168.70 to 212.164.168.98 53 20100 deny udp from 212.164.168.98 53 to 212.164.168.70 20200 deny udp from 212.164.168.72 to 212.164.168.98 53 20300 deny udp from 212.164.168.98 53 to 212.164.168.72 20400 15 905 deny udp from 212.164.168.78 to 212.164.168.98 53 20500 deny udp from 212.164.168.98 53 to 212.164.168.78 20600 deny udp from 212.164.168.84 to 212.164.168.98 53 20700 deny udp from 212.164.168.98 53 to 212.164.168.84 20800 deny udp from 212.164.168.88 to 212.164.168.98 53 20900 deny udp from 212.16 ... |
|
Вернуться к началу |
|
|
dwarlock
Зарегистрирован: 25.03.2003 Сообщения: 10
|
Добавлено: Чт Мар 27 2003 06:59 Заголовок сообщения: Ситуация на данный момент.... |
|
|
20900 deny udp from 212.164.168.98 53 to 212.164.168.88 21000 deny udp from 212.164.168.91 to 212.164.168.98 53 21100 deny udp from 212.164.168.98 53 to 212.164.168.91 21200 153 10293 deny udp from 212.164.168.93 to 212.164.168.98 53 21300 deny udp from 212.164.168.98 53 to 212.164.168.93 21400 deny udp from 212.164.168.94 to 212.164.168.98 53 21500 deny udp from 212.164.168.98 53 to 212.164.168.94 21600 deny udp from 212.164.168.95 to 212.164.168.98 53 21700 deny udp from 212.164.168.98 53 to 212.164.168.95 21800 deny udp from 212.164.168.96 to 212.164.168.98 53 21900 deny udp from 212.164.168.98 53 to 212.164.168.96 22000 deny udp from 212.164.168.103 to 212.164.168.98 53 22100 deny udp from 212.164.168.98 53 to 212.164.168.103 22200 deny udp from 212.164.168.104 to 212.164.168.98 53 22300 deny udp from 212.164.168.98 53 to 212.164.168.104 22400 deny udp from 212.164.168.105 to 212.164.168.98 53 22500 deny udp from 212.164.168.98 53 to 212.164.168.105 22600 deny udp from 212.164.168.106 to 212.164.168.98 53 22700 deny udp from 212.164.168.98 53 to 212.164.168.106 22800 deny udp from 212.164.168.107 to 212.164.168.98 53 22900 deny udp from 212.164.168.98 53 to 212.164.168.107 23000 deny udp from 212.164.168.110 to 212.164.168.98 53 23100 deny udp from 212.164.168.98 53 to 212.164.168.110 23200 deny udp from 212.164.168.111 to 212.164.168.98 53 23300 deny udp from 212.164.168.98 53 to 212.164.168.111 23400 11561 577420 allow tcp from 212.164.168.64/26 to any setup 23500 493742 350719374 allow tcp from any to any established 23600 allow tcp from any to any frag 23700 394564 30614792 allow ip from any to any via xl0 23800 1439 92950 allow ip from 212.164.168.245 to any 23900 8 248 allow ip from 212.164.168.99 to any 24000 1263 130987 allow ip from 212.164.168.98 to any 24100 7 196 allow ip from 212.164.168.97 to any
далее разрешаются сновный порты типа 20, 80, 25 и тд.
Теперь traceroute: если сделать
....правила типа 127.0.0.1, lo0.. .... ipfw add fwd 212.164.168.246 ip from 212.164.168.64/26 to any ipfw add allow all from any to any ....
то tracert 212.164.168.246 проходит, но уже tracert 217.106.20.89 (адрес интерфейса Serial0/5 cisco прова) пишет 1 |
|
Вернуться к началу |
|
|
dwarlock
Зарегистрирован: 25.03.2003 Сообщения: 10
|
Добавлено: Чт Мар 27 2003 07:01 Заголовок сообщения: Конец сообщения :)))) |
|
|
то tracert 212.164.168.246 проходит, но уже tracert 217.106.20.89 (адрес интерфейса Serial0/5 cisco прова) пишет 1 |
|
Вернуться к началу |
|
|
dwarlock
Зарегистрирован: 25.03.2003 Сообщения: 10
|
Добавлено: Чт Мар 27 2003 09:28 Заголовок сообщения: Может быть проблема в маршрутах роутера? |
|
|
Так как связка natd и ipfw работает, то разницы нет форвардить один адрес(62.76.12.130) или всю сеть 212.164.168.0 а такак xl1 подключен к радио изернет, а настройки на радио изернт сделал пров
То может быть проблема в маршрутах роутера Cisco, которая соединяет сеть 212.164.168.0
С уважением, Семен. |
|
Вернуться к началу |
|
|
|