ipnat i 3 gateway'a? est' kakije libo ideji?

У вас сложности? Наши специалисты постараются помочь вам. Если вы сами сталкивались с похожими проблемами - поделитесь опытом.

Модераторы: Trinity admin`s, Free-lance moderator`s

Ответить
Hugle
Junior member
Сообщения: 4
Зарегистрирован: 23 дек 2003, 14:15

ipnat i 3 gateway'a? est' kakije libo ideji?

Сообщение Hugle » 23 дек 2003, 14:40

Dobrij den.
POsle dolgogo posika natknulsia na etot forum, i kakby tak zdes' anrod "zhivoj" ;) shto ochen raduet estestvenno.

Prichina pochemu ja pishu na etot forum, sosstoit v tom, shto :
U meani est' 3 kanala v internet :
x.x.x.162 gw > x.x.x.161 (gw1)
x.x.x.142 gw > x.x.x.141 (gw2)
y.y.y.59 gw > y.y.y.1 (gw3)

default x.x.x.161

ipnat rules vygliadiat tak:
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 53 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6111 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6112 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6113 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6114 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6115 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6116 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6117 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6118 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6119 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 4000 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 7777 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 7787 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 7877 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 7887 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6668 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 27005 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 27015 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 27960 -> x.x.x.142/32 portmap tcpudp auto

map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 22 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 25 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 79 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 81 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 110 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 443 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 2082 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 5050 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 5190 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 1863 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6667 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 to 213.226.139.46 port = 7000 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 to 212.122.68.216 -> x.x.x.162/32 portmap tcp auto

map rl1 from 192.168.0.0/16 ! to 192.168.0.0/16 -> y.y.y.59/32

Shto ja pytajus' zdelat', eto :
opredelionnyje porty pustit' cherez gw1, igry > gw2, i vsio ostolnoje (musor i p2p) > gw3.

Problema sostoit v tom, shto raboatet tolko pravilo s ip x.x.x.162. skorej vsego izza togo, shto est' pravilo default route. A packety idushije na gw2 i gw3 sistema neznaet kuda "brosat'"
Sejchias vopros takoj: kak zdelat' tak, shtoby traffik kotoryj idiot na x.x.x.142 shol by na gw> x.x.x.141 i traffic na y.y.y.59 shol by na gw y.y.y.1 ?
proboval igratsa s ipfw:
ipfw add 501 fwd x.x.x.142 ip from x.x.x.142 to any
ipfw add 502 fwd x.x.x.161 ip from x.x.x.162 to any
ipfw add 503 fwd y.y.y.1 ip from y.y.y.59 to any

no bez-rezultato. Na skolko ja ponial ipfw-forward rabotaet PERED ipnat'om, t.e. eto i ne dolzhno rabotat'

OS. FreeBSD 4.9

Est' kakije libo ideji?
S uvazhenijem, Jarek

Аватара пользователя
Wizard
Advanced member
Сообщения: 185
Зарегистрирован: 09 сен 2002, 11:34
Откуда: SPb
Контактная информация:

Сообщение Wizard » 24 дек 2003, 12:42

С фрёй не знаком но слышал :)
а про фаер вот что вычитал маненько http://www.opennet.ru/docs/RUS/iptables/
так вот там как раз указано что нат то работает до форварда
т.е. для транзитных пакетов PREROUTING - FORWARD - POSTROUTING.
или во фрее по другому? там вообще чтонить похожее на iptables в Линухе есть или там ipchains + patch для ната?

А на счёт нескольких провайдеров на 1 гейте и как разруливать трафик с локалки на них есть только предположения т.к. реально настраивал только для двух и всё статически а не динамически.
Идея состоит в том что надо просто дописать маршруты.
К примеру было 2 провайдера - 1 для всего трафика 2 для HTTP(халявный трафик), 1 являлся default gw
так вот как это было побеждено(подгонка под ответ)
прописал своему HTTP прокси ходит через прокси провайдера
и в route написал что при обрашение к ИП прокси провайдера ходить через такойто интерфейс но это частный случай.

Ага писал ответ, а вопрос читал не внимательно :!:
Есть 3 гейта т.е. 3 машины или всё на одной?

Аватара пользователя
art
free-lance moderator
Сообщения: 653
Зарегистрирован: 15 май 2003, 11:25
Откуда: SPb

про ipnat

Сообщение art » 24 дек 2003, 13:50

про ipnat ничего не скажу, никогда его не использовал.
на ipfw - вполне работает.
У тебя три разных интрефейса наружу, или просто алиасы?

Hugle
Junior member
Сообщения: 4
Зарегистрирован: 23 дек 2003, 14:15

Сообщение Hugle » 24 дек 2003, 15:06

est' 3 gateway'a i vse na odnoj mashine
odin gw x.x.x.161 IP > x.x.x.162 (alias na fxp0)
gw2 x.x.x.141 IP x.x..x.142 (vlan0)
i gw3 y.y.y.1 IP > y.y.y.59 (rl1)

U meani eto vsio rabotalo na ipfw + natd
no problema v tom, shto oidentd nedruzhit s natd ;) a IDENT mne ochen aktualen. i voobshe govoriat shto ipant lutshe s natom rabotaet, dla menia dazhe ego config proshche vygliadit (t.e. ipnat).. No kak eto zastavit' rabotat' ispolzuja 3 interface'a - eshio neznaju :)

ps. ja dazhe route prodoval propisyvat'
route add default x.x.x.161
route add -host x.x.x.142 x.x.x.141
route add -host x.x.x.59 x.x.x.1

mozhet stoit subnety ddobavit'?
route add -host x.x.x.142/255.255.255.252 x.x.x.141
ili shtoto vrode?;]
Podelites' idejami esli est' :)

Spasibo, Jarek

Аватара пользователя
art
free-lance moderator
Сообщения: 653
Зарегистрирован: 15 май 2003, 11:25
Откуда: SPb

Сообщение art » 24 дек 2003, 15:54

Hugle писал(а): no problema v tom, shto oidentd nedruzhit s natd ;)
не понял.
Пиши, plz, английские термины болшими буквами по английски.
{ IPNAT IPFW}

В догонку, не понял поначалу.
Тебе нужен ident, но он не работает через nat сессию, так что ли?

Аватара пользователя
art
free-lance moderator
Сообщения: 653
Зарегистрирован: 15 май 2003, 11:25
Откуда: SPb

Сообщение art » 24 дек 2003, 16:03

пока не всё ясно, но из общих соображений следует,
что лучше использовать NAT+IPFW это более стабильная связка.
IPNAT вообще застрял и, IMHO, не будет развиваться.

Так что, по-моему, лучше выбрать "правильное" низкоуровневое решение (NAT+IPFW) и разбираться с высокоуровневым - IDENT

Hugle
Junior member
Сообщения: 4
Зарегистрирован: 23 дек 2003, 14:15

Сообщение Hugle » 24 дек 2003, 16:26

da, NATD kotoryj rabotajet s pomoshiu ipfw nerabotaet. zapusakesh oidentd (usr/ports/security/oidentd) no on ne "identit" userov iz seti, esli tot-zhe nat vkliuchit' cherez ipnat, to vsio rabotaet.

IPF+IPNAT shitajutsa na mnogo lutshe chem IPFW+NATD. naprimer NATD rabotaet v user itnerface, i snachenyje packy idut iz seti > natd > kernel i obratno iz kernelia v natd i k useru.
t.e. v IPNAT performance shitaetsa lutshe chem NATD

A shto kasaetsa IDENT demon'a ja ninashol niodnogo rabotajushego ident'a dla freebsd kotoryj by rabotal (krome oidentd).

Poskolku teper pojavilas vozmoshnost' (mozhet dazhe potrebnost') perejti na ipnat, to eto moj shans. TOlko vot pokashto bezuspeshno..

Spasibo za udelionnoje vremia,
Jarek

Аватара пользователя
art
free-lance moderator
Сообщения: 653
Зарегистрирован: 15 май 2003, 11:25
Откуда: SPb

Сообщение art » 24 дек 2003, 17:40

Ну, тут ничего не попишешь:
# more /usr/ports/security/oidentd/pkg-descr
FreeBSD, OpenBSD and Solaris. oidentd can handle IP masqueraded/NAT connections
on Linux, FreeBSD (ipf only) and OpenBSD. oidentd has a flexible

Но я еще не встречал задач, на которых NATD упореблял бы заметные ресурсы. Если не сложно - отпиши, какие у тебя были нагрузки.

Hugle
Junior member
Сообщения: 4
Зарегистрирован: 23 дек 2003, 14:15

Сообщение Hugle » 24 дек 2003, 23:15

art писал(а):Ну, тут ничего не попишешь:
# more /usr/ports/security/oidentd/pkg-descr
FreeBSD, OpenBSD and Solaris. oidentd can handle IP masqueraded/NAT connections
on Linux, FreeBSD (ipf only) and OpenBSD. oidentd has a flexible

Но я еще не встречал задач, на которых NATD упореблял бы заметные ресурсы. Если не сложно - отпиши, какие у тебя были нагрузки.
To, kak rabotal NATD mne ne meshalo- eto fakt. vsia problema prakticehski v oidentd'e, tak kak IDENT nuzhen mne :)
a nagruzka ~500 userov...

Jarek

Ответить

Вернуться в «Серверы - Решение проблем»