Gang

А чем вы натите? Не вижу ничего плохого в pf в связке с ipfw. В своем время у меня НАТ был именно на pf. UPDATE: увидел ipfw kernel nat Ну вы можете сфорвадить на другой сервер. А там точно так-же использовать форвард уже локальный, как вариант. Но как по мне - все не имеет смысла. Оставляйте заглушку на насе и еже с ним. Либо через pf )

Вам выше подсказали посредством PF :

Форвард как-раз работает нормально, просто надо понимать, что происходит. Пакет пересылается на указанный хост без изменения. Т.е., вместо кастера вконтакта пакет приходит на ваш веб-сервер, кторый его отфутболивает. В случае локального адреса вам "делают одолжение" For packets forwarded locally, the local address of the socket will be set to the original destination address of the packet. This makes the netstat(1) entry look rather weird but is intended for use with transparent proxy servers. Локальный веб-сервер хорош, если имееет место запрос GET /. А если он запросит более сложный

Поднимите на том-же сервере на другом порту любой http сервер. По критерию, который Вам нравится форвадите все запросы на 80-й порт на него. На нем вешаете заглушку. Остальное запрещаете. ipfw add 20 fwd 127.0.0.1,1123 tcp from "table(40)" to any dst-port 80 in via vlan20 В качестве примера. P.S. Форвад работает только локально!

Добрый день! Собственно сабж. Предложения в ПМ, спасибо!

есть же net.inet.ip.fw.one_pass нет, мне действительно интересно - никогда же не поздно учиться, да? Осведомлен. Но нутром чую, что у тописктартера он =1 UPD: Поспешил )

Круто!

Вам выше подсказали, что если пакет попадает под правило allow и deny, он дальше не идет по цепочке правил. Беглое гугление по абиллс ткнуло меня меня на мануалы, где предлагают шейпить посредством ng_car, передавая радиус атрибуты . Предполагаю, что у Вас именно так, или все-таки dummynet ? Покажите ipfw list, что ли

Это смотря как строить. Если вешать по /30 на каждый vlan, то тут да - чистый роутинг. Ежели заюзать, скажем, цисковкую ip-unnumbered, то они общаются через богомерзкий proxy arp, который я имею полное моральное право отключить. Как законодательство запрещает мне это сделать? Как хочу, так и строю ) На практике включено и proxy arp, и local proxy arp, но если бы доставляло какие проблемы - решительно бы отключил )

Через НАТ (pppoe) шейпится скорость, посредством биллинга abills. Если без НАТа, то как все настроить ? где и что прописывать ? Что-то у вас смешались в кучу и кони, и люди. нат, пппое, шейпер. Вам смаршрутизировали блок. У вас должно просто работать: достаточно разрешить прохождения пакетов с этих адресов через Ваш шлюз. Натить белые адреса не нужно. Я не знаю как у Вас шейпится, через сам mpd, или через dummynet и как организовано управление всем этим хозяйством в биллинге, так что посоветовать что-то конкрнетно сложно ) Для начала добавьте руками просто : ${fwcmd} add

На прошлой работе был сначала инет от них, на пару с интертелекомом. В районом центре. Потом пришел билайн, начал строиться, они слились. До слияния просили за 1 гигосик 18, что ли. После около 28 )) Забыл: но сейчас там наливают инет всякие танграмы и даталайны через их транспорт. Последнее, что помню 18 К за 300 мира и гиг украины. Так что у них все индивидально по ценам )

Жаль

Ежели не используете gvrp на Длинках, чего настоятельно не советую делать, потому как оно там через пень-колоду - включать не нужно )

и какая цена примерно на 3560Г ? и умеет ли она 32-битные автономки? 2000 у.е. А вот по поводу автономки самому интересно. Стоит такая на одном участке сети, скажем даже, что это другой город. Не подскажу по поводу 32 битных AS, нет таких пиров. Был косяк после поднятия с триоланом пирринга, не разбирался, но думаю, что из-за 32 битных AS в AS-Path. Просто обновил софт, все завелось. P.S. Во всех версиях софта Ipservice начиная с 122.58, где починили баг с BGP сломали local proxy arp )

плюсую за 3560G ) Примите на него украину, пиры; дефолт на тазик какой-то и там шейпить. Плюс всякие вкусности типа ip unnumbered и тд

ip unnumbered ? На микротике наверняка можно реализовать через бридж, или ещё как. Сам не сталкивался

Кому интересно : убить двух зайцев, как это часто бывает - не получится. Пообщался с людьми, которые на практике пробовали, приведу выдержку из переписки :

На младших каталистах можно сделать петлю на двух портах, запаковать vlan в другой, аля qinq, где-то распаковать, отдать куда надо и посчитать трафик на физических портах П.С: Сами извращенцы )

Мне не нужно фиксированное шасси. Окромя бесполезных медных портов, там ещё ограниченный функционал, в частности там может быть до 8 очередей на физический порт, и отсутствует возможность выделять комплекты очередей на vlan. Он даже построен на базе другого чипа - MX-MPC1-3D, а модульный MX80 на MPC1-3D-Q. Предложите цены бандлов и/или отдельно шасси + модули + лицензия.

День добрый! Можно мне предложения в ПМ. Интересует все возможные бандлы с 10Г, так и отдельно модульный + один MIC 1х20 SFP и лицензией advanced L3 П.С.: Кто-то у себя внедрил ? Интересует на нем ещё полисить пер юзер(аналог UBRL цисковского)

День добрый! Можно мне предложения в ПМ. Интересует все возможные бандлы с 10Г, так и отдельно модульный + один MIC 1х20 SFP и лицензией advanced L3 П.С.: Кто-то у себя внедрил ? Интересует на нем ещё полисить пер юзер.

Тему можно закрывать. Спасибо огромное Александру из DTEL-IX ! Вместо : create virtual-router "VR-WORLD" type vrf vr "VR-Default" Нужно просто : create virtual-router "VR-WORLD" Тогда все чудесно : # conf "VR-WORLD" add protocol "bgp" Please wait for a few seconds for Protocol bgp to start in Virtual Router VR-WORLD

Эти моменты проверил сразу : * x650 # sh iparp vr "VR-WORLD" VR Destination Mac Age Static VLAN VID Port VR-WORLD хх.хх.хх.53 84:18:88:e8:80:f7 10 NO ISP_backup 1711 1

x650 # virtual-router VR-WORLD * (vr VR-WORLD) x650 # create bgp neighbor xx.xx.xx.53 remote-AS-number YYYY Error! EBGP peer xx.xx.xx.53 not directly connected Я зашел в конкретный ВРФ и создаю нейбора. В документации пусто именно на данную тему.

Доброго времени суток ! Прошу помочь. Не поднимается BGP в свежесозданном VR Extreme x650-a Image : ExtremeXOS version 12.5.2.6 v1252b6 by release-manager configure vr VR-Default delete ports 1 create virtual-router "VR-WORLD" type vrf vr "VR-Default" configure vr VR-WORLD add protocol bgp enable vr "VR-WORLD" create vlan "ISP_backup" vr "VR-WORLD" configure vlan "ISP_backup" tag 1711 configure vlan "ISP_backup" add ports 1 tagged configure vlan "ISP_backup" ipaddress xx.xx.xx.54 255.255.255.252 enable ipforwarding vlan ISP_backup create bgp neighbor xx.xx.xx.53 remote-AS-numbe