ipnat i 3 gateway'a? est' kakije libo ideji?
Модераторы: Trinity admin`s, Free-lance moderator`s
ipnat i 3 gateway'a? est' kakije libo ideji?
Dobrij den.
POsle dolgogo posika natknulsia na etot forum, i kakby tak zdes' anrod "zhivoj" shto ochen raduet estestvenno.
Prichina pochemu ja pishu na etot forum, sosstoit v tom, shto :
U meani est' 3 kanala v internet :
x.x.x.162 gw > x.x.x.161 (gw1)
x.x.x.142 gw > x.x.x.141 (gw2)
y.y.y.59 gw > y.y.y.1 (gw3)
default x.x.x.161
ipnat rules vygliadiat tak:
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 53 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6111 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6112 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6113 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6114 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6115 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6116 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6117 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6118 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6119 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 4000 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 7777 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 7787 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 7877 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 7887 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6668 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 27005 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 27015 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 27960 -> x.x.x.142/32 portmap tcpudp auto
map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 22 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 25 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 79 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 81 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 110 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 443 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 2082 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 5050 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 5190 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 1863 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6667 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 to 213.226.139.46 port = 7000 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 to 212.122.68.216 -> x.x.x.162/32 portmap tcp auto
map rl1 from 192.168.0.0/16 ! to 192.168.0.0/16 -> y.y.y.59/32
Shto ja pytajus' zdelat', eto :
opredelionnyje porty pustit' cherez gw1, igry > gw2, i vsio ostolnoje (musor i p2p) > gw3.
Problema sostoit v tom, shto raboatet tolko pravilo s ip x.x.x.162. skorej vsego izza togo, shto est' pravilo default route. A packety idushije na gw2 i gw3 sistema neznaet kuda "brosat'"
Sejchias vopros takoj: kak zdelat' tak, shtoby traffik kotoryj idiot na x.x.x.142 shol by na gw> x.x.x.141 i traffic na y.y.y.59 shol by na gw y.y.y.1 ?
proboval igratsa s ipfw:
ipfw add 501 fwd x.x.x.142 ip from x.x.x.142 to any
ipfw add 502 fwd x.x.x.161 ip from x.x.x.162 to any
ipfw add 503 fwd y.y.y.1 ip from y.y.y.59 to any
no bez-rezultato. Na skolko ja ponial ipfw-forward rabotaet PERED ipnat'om, t.e. eto i ne dolzhno rabotat'
OS. FreeBSD 4.9
Est' kakije libo ideji?
S uvazhenijem, Jarek
POsle dolgogo posika natknulsia na etot forum, i kakby tak zdes' anrod "zhivoj" shto ochen raduet estestvenno.
Prichina pochemu ja pishu na etot forum, sosstoit v tom, shto :
U meani est' 3 kanala v internet :
x.x.x.162 gw > x.x.x.161 (gw1)
x.x.x.142 gw > x.x.x.141 (gw2)
y.y.y.59 gw > y.y.y.1 (gw3)
default x.x.x.161
ipnat rules vygliadiat tak:
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 53 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6111 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6112 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6113 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6114 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6115 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6116 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6117 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6118 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6119 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 4000 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 7777 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 7787 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 7877 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 7887 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6668 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 27005 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 27015 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 27960 -> x.x.x.142/32 portmap tcpudp auto
map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 22 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 25 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 79 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 81 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 110 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 443 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 2082 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 5050 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 5190 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 1863 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6667 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 to 213.226.139.46 port = 7000 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 to 212.122.68.216 -> x.x.x.162/32 portmap tcp auto
map rl1 from 192.168.0.0/16 ! to 192.168.0.0/16 -> y.y.y.59/32
Shto ja pytajus' zdelat', eto :
opredelionnyje porty pustit' cherez gw1, igry > gw2, i vsio ostolnoje (musor i p2p) > gw3.
Problema sostoit v tom, shto raboatet tolko pravilo s ip x.x.x.162. skorej vsego izza togo, shto est' pravilo default route. A packety idushije na gw2 i gw3 sistema neznaet kuda "brosat'"
Sejchias vopros takoj: kak zdelat' tak, shtoby traffik kotoryj idiot na x.x.x.142 shol by na gw> x.x.x.141 i traffic na y.y.y.59 shol by na gw y.y.y.1 ?
proboval igratsa s ipfw:
ipfw add 501 fwd x.x.x.142 ip from x.x.x.142 to any
ipfw add 502 fwd x.x.x.161 ip from x.x.x.162 to any
ipfw add 503 fwd y.y.y.1 ip from y.y.y.59 to any
no bez-rezultato. Na skolko ja ponial ipfw-forward rabotaet PERED ipnat'om, t.e. eto i ne dolzhno rabotat'
OS. FreeBSD 4.9
Est' kakije libo ideji?
S uvazhenijem, Jarek
- Wizard
- Advanced member
- Сообщения: 185
- Зарегистрирован: 09 сен 2002, 11:34
- Откуда: SPb
- Контактная информация:
С фрёй не знаком но слышал
а про фаер вот что вычитал маненько http://www.opennet.ru/docs/RUS/iptables/
так вот там как раз указано что нат то работает до форварда
т.е. для транзитных пакетов PREROUTING - FORWARD - POSTROUTING.
или во фрее по другому? там вообще чтонить похожее на iptables в Линухе есть или там ipchains + patch для ната?
А на счёт нескольких провайдеров на 1 гейте и как разруливать трафик с локалки на них есть только предположения т.к. реально настраивал только для двух и всё статически а не динамически.
Идея состоит в том что надо просто дописать маршруты.
К примеру было 2 провайдера - 1 для всего трафика 2 для HTTP(халявный трафик), 1 являлся default gw
так вот как это было побеждено(подгонка под ответ)
прописал своему HTTP прокси ходит через прокси провайдера
и в route написал что при обрашение к ИП прокси провайдера ходить через такойто интерфейс но это частный случай.
Ага писал ответ, а вопрос читал не внимательно
Есть 3 гейта т.е. 3 машины или всё на одной?
а про фаер вот что вычитал маненько http://www.opennet.ru/docs/RUS/iptables/
так вот там как раз указано что нат то работает до форварда
т.е. для транзитных пакетов PREROUTING - FORWARD - POSTROUTING.
или во фрее по другому? там вообще чтонить похожее на iptables в Линухе есть или там ipchains + patch для ната?
А на счёт нескольких провайдеров на 1 гейте и как разруливать трафик с локалки на них есть только предположения т.к. реально настраивал только для двух и всё статически а не динамически.
Идея состоит в том что надо просто дописать маршруты.
К примеру было 2 провайдера - 1 для всего трафика 2 для HTTP(халявный трафик), 1 являлся default gw
так вот как это было побеждено(подгонка под ответ)
прописал своему HTTP прокси ходит через прокси провайдера
и в route написал что при обрашение к ИП прокси провайдера ходить через такойто интерфейс но это частный случай.
Ага писал ответ, а вопрос читал не внимательно
Есть 3 гейта т.е. 3 машины или всё на одной?
про ipnat
про ipnat ничего не скажу, никогда его не использовал.
на ipfw - вполне работает.
У тебя три разных интрефейса наружу, или просто алиасы?
на ipfw - вполне работает.
У тебя три разных интрефейса наружу, или просто алиасы?
est' 3 gateway'a i vse na odnoj mashine
odin gw x.x.x.161 IP > x.x.x.162 (alias na fxp0)
gw2 x.x.x.141 IP x.x..x.142 (vlan0)
i gw3 y.y.y.1 IP > y.y.y.59 (rl1)
U meani eto vsio rabotalo na ipfw + natd
no problema v tom, shto oidentd nedruzhit s natd a IDENT mne ochen aktualen. i voobshe govoriat shto ipant lutshe s natom rabotaet, dla menia dazhe ego config proshche vygliadit (t.e. ipnat).. No kak eto zastavit' rabotat' ispolzuja 3 interface'a - eshio neznaju
ps. ja dazhe route prodoval propisyvat'
route add default x.x.x.161
route add -host x.x.x.142 x.x.x.141
route add -host x.x.x.59 x.x.x.1
mozhet stoit subnety ddobavit'?
route add -host x.x.x.142/255.255.255.252 x.x.x.141
ili shtoto vrode?;]
Podelites' idejami esli est'
Spasibo, Jarek
odin gw x.x.x.161 IP > x.x.x.162 (alias na fxp0)
gw2 x.x.x.141 IP x.x..x.142 (vlan0)
i gw3 y.y.y.1 IP > y.y.y.59 (rl1)
U meani eto vsio rabotalo na ipfw + natd
no problema v tom, shto oidentd nedruzhit s natd a IDENT mne ochen aktualen. i voobshe govoriat shto ipant lutshe s natom rabotaet, dla menia dazhe ego config proshche vygliadit (t.e. ipnat).. No kak eto zastavit' rabotat' ispolzuja 3 interface'a - eshio neznaju
ps. ja dazhe route prodoval propisyvat'
route add default x.x.x.161
route add -host x.x.x.142 x.x.x.141
route add -host x.x.x.59 x.x.x.1
mozhet stoit subnety ddobavit'?
route add -host x.x.x.142/255.255.255.252 x.x.x.141
ili shtoto vrode?;]
Podelites' idejami esli est'
Spasibo, Jarek
da, NATD kotoryj rabotajet s pomoshiu ipfw nerabotaet. zapusakesh oidentd (usr/ports/security/oidentd) no on ne "identit" userov iz seti, esli tot-zhe nat vkliuchit' cherez ipnat, to vsio rabotaet.
IPF+IPNAT shitajutsa na mnogo lutshe chem IPFW+NATD. naprimer NATD rabotaet v user itnerface, i snachenyje packy idut iz seti > natd > kernel i obratno iz kernelia v natd i k useru.
t.e. v IPNAT performance shitaetsa lutshe chem NATD
A shto kasaetsa IDENT demon'a ja ninashol niodnogo rabotajushego ident'a dla freebsd kotoryj by rabotal (krome oidentd).
Poskolku teper pojavilas vozmoshnost' (mozhet dazhe potrebnost') perejti na ipnat, to eto moj shans. TOlko vot pokashto bezuspeshno..
Spasibo za udelionnoje vremia,
Jarek
IPF+IPNAT shitajutsa na mnogo lutshe chem IPFW+NATD. naprimer NATD rabotaet v user itnerface, i snachenyje packy idut iz seti > natd > kernel i obratno iz kernelia v natd i k useru.
t.e. v IPNAT performance shitaetsa lutshe chem NATD
A shto kasaetsa IDENT demon'a ja ninashol niodnogo rabotajushego ident'a dla freebsd kotoryj by rabotal (krome oidentd).
Poskolku teper pojavilas vozmoshnost' (mozhet dazhe potrebnost') perejti na ipnat, to eto moj shans. TOlko vot pokashto bezuspeshno..
Spasibo za udelionnoje vremia,
Jarek
Ну, тут ничего не попишешь:
# more /usr/ports/security/oidentd/pkg-descr
FreeBSD, OpenBSD and Solaris. oidentd can handle IP masqueraded/NAT connections
on Linux, FreeBSD (ipf only) and OpenBSD. oidentd has a flexible
Но я еще не встречал задач, на которых NATD упореблял бы заметные ресурсы. Если не сложно - отпиши, какие у тебя были нагрузки.
# more /usr/ports/security/oidentd/pkg-descr
FreeBSD, OpenBSD and Solaris. oidentd can handle IP masqueraded/NAT connections
on Linux, FreeBSD (ipf only) and OpenBSD. oidentd has a flexible
Но я еще не встречал задач, на которых NATD упореблял бы заметные ресурсы. Если не сложно - отпиши, какие у тебя были нагрузки.
To, kak rabotal NATD mne ne meshalo- eto fakt. vsia problema prakticehski v oidentd'e, tak kak IDENT nuzhen mneart писал(а):Ну, тут ничего не попишешь:
# more /usr/ports/security/oidentd/pkg-descr
FreeBSD, OpenBSD and Solaris. oidentd can handle IP masqueraded/NAT connections
on Linux, FreeBSD (ipf only) and OpenBSD. oidentd has a flexible
Но я еще не встречал задач, на которых NATD упореблял бы заметные ресурсы. Если не сложно - отпиши, какие у тебя были нагрузки.
a nagruzka ~500 userov...
Jarek
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 21 гость