Gang

Вам выше подсказали посредством PF :

Форвард как-раз работает нормально, просто надо понимать, что происходит. Пакет пересылается на указанный хост без изменения. Т.е., вместо кастера вконтакта пакет приходит на ваш веб-сервер, кторый его отфутболивает. В случае локального адреса вам "делают одолжение" For packets forwarded locally, the local address of the socket will be set to the original destination address of the packet. This makes the netstat(1) entry look rather weird but is intended for use with transparent proxy servers. Локальный веб-сервер хорош, если имееет место запрос GET /. А если он запросит более сложный путь? В 3proxy теоретически работает конструкция parent 1000 http 1.1.1.1 на практике, естественно, - нет. Идем далее, если открывается сокет с адресом вконтакта, то что вы должны написать в ipfw? Вы должны разрешить ВСЁ (ну во всяком случае 80-ый порт) на внутреннем интерфейсе. А как вы это сделаете, если там форвардинг? Значит запрещающие правила надо на внешнем интерфейсе, а туда "мы" притулили nat и еще непойми-что. Получается "бред" (с). Нат не использую. Не понимаю в чем сложность во всем остальном ) Если запросит что-то окромя "GET /" - на локальном вебсервере редиректим все запросы на "/" (средствами вебсервера) Я использую lighttpd. Там достаточно ловить 404 и перенаправлять куда нужно : $SERVER["socket"] == ":1123" { server.name = "lalalalala" [b]server.error-handler-404 = "/index.html"[/b] index.file-names = ( "index.html" ) server.document-root = "/usr/local/www/info" } На прошлой работе был шлюз на freebsd, отправлял на заглушку всех неугодных. Даже сообщения клиентам так слал. Не далее как позавчера на новом участке сети сделал такую штуку : циска отправляет через PBR всех неугодных на сервер, который в общем и не роутит ничего, а для этого дела отдельный vlan интерфейс - все прекрасно работает. Даже приведу рабочий больше не используемый пример с одного из серверов : ### Forwarding to blockpage #${fwcmd} add 50003 fwd 127.0.0.1,1123 tcp from { not "table(5)" or not "table(40)" } to any dst-port 80 in via vlan333 #${fwcmd} add 50004 allow tcp from { not "table(5)" or not "table(40)" } to any via vlan333 vlan333 - интерфейс смотрящий в сеть.

Поднимите на том-же сервере на другом порту любой http сервер. По критерию, который Вам нравится форвадите все запросы на 80-й порт на него. На нем вешаете заглушку. Остальное запрещаете. ipfw add 20 fwd 127.0.0.1,1123 tcp from "table(40)" to any dst-port 80 in via vlan20 В качестве примера. P.S. Форвад работает только локально!

Добрый день! Собственно сабж. Предложения в ПМ, спасибо!

есть же net.inet.ip.fw.one_pass нет, мне действительно интересно - никогда же не поздно учиться, да? Осведомлен. Но нутром чую, что у тописктартера он =1 UPD: Поспешил )

Круто!

Вам выше подсказали, что если пакет попадает под правило allow и deny, он дальше не идет по цепочке правил. Беглое гугление по абиллс ткнуло меня меня на мануалы, где предлагают шейпить посредством ng_car, передавая радиус атрибуты . Предполагаю, что у Вас именно так, или все-таки dummynet ? Покажите ipfw list, что ли

Это смотря как строить. Если вешать по /30 на каждый vlan, то тут да - чистый роутинг. Ежели заюзать, скажем, цисковкую ip-unnumbered, то они общаются через богомерзкий proxy arp, который я имею полное моральное право отключить. Как законодательство запрещает мне это сделать? Как хочу, так и строю ) На практике включено и proxy arp, и local proxy arp, но если бы доставляло какие проблемы - решительно бы отключил )

Через НАТ (pppoe) шейпится скорость, посредством биллинга abills. Если без НАТа, то как все настроить ? где и что прописывать ? Что-то у вас смешались в кучу и кони, и люди. нат, пппое, шейпер. Вам смаршрутизировали блок. У вас должно просто работать: достаточно разрешить прохождения пакетов с этих адресов через Ваш шлюз. Натить белые адреса не нужно. Я не знаю как у Вас шейпится, через сам mpd, или через dummynet и как организовано управление всем этим хозяйством в биллинге, так что посоветовать что-то конкрнетно сложно ) Для начала добавьте руками просто : ${fwcmd} add номер allow ip from 1.1.1.5 to any ${fwcmd} add номер allow ip from any to 1.1.1.5 P.S.: Сайт Вашей сети порадовал)

На прошлой работе был сначала инет от них, на пару с интертелекомом. В районом центре. Потом пришел билайн, начал строиться, они слились. До слияния просили за 1 гигосик 18, что ли. После около 28 )) Забыл: но сейчас там наливают инет всякие танграмы и даталайны через их транспорт. Последнее, что помню 18 К за 300 мира и гиг украины. Так что у них все индивидально по ценам )

Жаль

Ежели не используете gvrp на Длинках, чего настоятельно не советую делать, потому как оно там через пень-колоду - включать не нужно )

и какая цена примерно на 3560Г ? и умеет ли она 32-битные автономки? 2000 у.е. А вот по поводу автономки самому интересно. Стоит такая на одном участке сети, скажем даже, что это другой город. Не подскажу по поводу 32 битных AS, нет таких пиров. Был косяк после поднятия с триоланом пирринга, не разбирался, но думаю, что из-за 32 битных AS в AS-Path. Просто обновил софт, все завелось. P.S. Во всех версиях софта Ipservice начиная с 122.58, где починили баг с BGP сломали local proxy arp )

плюсую за 3560G ) Примите на него украину, пиры; дефолт на тазик какой-то и там шейпить. Плюс всякие вкусности типа ip unnumbered и тд

ip unnumbered ? На микротике наверняка можно реализовать через бридж, или ещё как. Сам не сталкивался

Кому интересно : убить двух зайцев, как это часто бывает - не получится. Пообщался с людьми, которые на практике пробовали, приведу выдержку из переписки :

На младших каталистах можно сделать петлю на двух портах, запаковать vlan в другой, аля qinq, где-то распаковать, отдать куда надо и посчитать трафик на физических портах П.С: Сами извращенцы )

Мне не нужно фиксированное шасси. Окромя бесполезных медных портов, там ещё ограниченный функционал, в частности там может быть до 8 очередей на физический порт, и отсутствует возможность выделять комплекты очередей на vlan. Он даже построен на базе другого чипа - MX-MPC1-3D, а модульный MX80 на MPC1-3D-Q. Предложите цены бандлов и/или отдельно шасси + модули + лицензия.

День добрый! Можно мне предложения в ПМ. Интересует все возможные бандлы с 10Г, так и отдельно модульный + один MIC 1х20 SFP и лицензией advanced L3 П.С.: Кто-то у себя внедрил ? Интересует на нем ещё полисить пер юзер(аналог UBRL цисковского)

День добрый! Можно мне предложения в ПМ. Интересует все возможные бандлы с 10Г, так и отдельно модульный + один MIC 1х20 SFP и лицензией advanced L3 П.С.: Кто-то у себя внедрил ? Интересует на нем ещё полисить пер юзер.

Тему можно закрывать. Спасибо огромное Александру из DTEL-IX ! Вместо : create virtual-router "VR-WORLD" type vrf vr "VR-Default" Нужно просто : create virtual-router "VR-WORLD" Тогда все чудесно : # conf "VR-WORLD" add protocol "bgp" Please wait for a few seconds for Protocol bgp to start in Virtual Router VR-WORLD

Эти моменты проверил сразу : * x650 # sh iparp vr "VR-WORLD" VR Destination Mac Age Static VLAN VID Port VR-WORLD хх.хх.хх.53 84:18:88:e8:80:f7 10 NO ISP_backup 1711 1

x650 # virtual-router VR-WORLD * (vr VR-WORLD) x650 # create bgp neighbor xx.xx.xx.53 remote-AS-number YYYY Error! EBGP peer xx.xx.xx.53 not directly connected Я зашел в конкретный ВРФ и создаю нейбора. В документации пусто именно на данную тему.

Доброго времени суток ! Прошу помочь. Не поднимается BGP в свежесозданном VR Extreme x650-a Image : ExtremeXOS version 12.5.2.6 v1252b6 by release-manager configure vr VR-Default delete ports 1 create virtual-router "VR-WORLD" type vrf vr "VR-Default" configure vr VR-WORLD add protocol bgp enable vr "VR-WORLD" create vlan "ISP_backup" vr "VR-WORLD" configure vlan "ISP_backup" tag 1711 configure vlan "ISP_backup" add ports 1 tagged configure vlan "ISP_backup" ipaddress xx.xx.xx.54 255.255.255.252 enable ipforwarding vlan ISP_backup create bgp neighbor xx.xx.xx.53 remote-AS-number НННН enable bgp neighbor xx.xx.xx.53 configure bgp neighbor xx.xx.xx.53 send-community extended configure bgp neighbor xx.xx.xx.53 route-policy in bgp_ISP_world_in configure bgp neighbor xx.xx.xx.53 route-policy out bgp_ISP_world_out enable bgp neighbor xx.xx.xx.53 soft-in-reset В итоге : #sh bgp nei --cut-- Ee-- xx.xx.xx.53 YYYY 1 CONNECT 0 0 (0 ) 0:1:42:12 #sh "VR-WORLD" Virtual Router : VR-WORLD Type : Non-VPN VRF [b]Operational State : Down (Inactive Vlans)[/b] IPv4 Admin State : Enabled IPv6 Admin State : Enabled IPv4 Route Sharing : Disabled IPv6 Route Sharing : Disabled Parent VR : VR-Default Protocols Configured : -------------------------------------------------------------------- Protocol Process Configuration Protocol Name Name Module Name Instances -------------------------------------------------------------------- BGP bgp bgp-3 2 -------------------------------------------------------------------- VLANS : ISP_backup Virtual Router Totals : Total Protocols : 1 Max Protocols : 8 Total Ports : 0 Total Vlans : 1 Total IPv4 Vlans : 1 Total Ipv6 Vlans : 0 Active IPv4 Vlans : 0 Active Ipv6 Vlans : 0 Inactive IPv4 Vlans : 1 Inactive Ipv6 Vlans : 0 # ping vr "VR-WORLD" xx.xx.xx.53 Ping(ICMP) xx.xx.xx.53: 4 packets, 8 data bytes, interval 1 second(s). 16 bytes from xx.xx.xx.53: icmp_seq=0 ttl=64 time=9.077 ms 16 bytes from xx.xx.xx.53: icmp_seq=1 ttl=64 time=3.658 ms 16 bytes from xx.xx.xx.53: icmp_seq=2 ttl=64 time=3.774 ms 16 bytes from xx.xx.xx.53: icmp_seq=3 ttl=64 time=3.701 ms # sh vlan "ISP_backup" VLAN Interface with name ISP_backup created by user Admin State: Enabled Tagging: 802.1Q Tag 1711 Virtual router: VR-WORLD IPv4 Forwarding: Enabled Primary IP : xx.xx.xx.54/30 IPv6 Forwarding: Disabled IPv6: None STPD: None Protocol: Match all unfiltered protocols Loopback: Disabled NetLogin: Disabled QosProfile: None configured Egress Rate Limit Designated Port: None configured Flood Rate Limit QosProfile: None configured Ports: 1. (Number of active ports=1) Tag: *1(ISP) Flags: (*) Active, (!) Disabled, (g) Load Sharing port ( Port blocked on the vlan, (m) Mac-Based port (a) Egress traffic allowed for NetLogin (u) Egress traffic unallowed for NetLogin (t) Translate VLAN tag for Private-VLAN (s) Private-VLAN System Port, (L) Loopback port (e) Private-VLAN End Point Port (x) VMAN Tag Translated port (G) Multi-switch LAG Group port В "VR-Default" все конечно-же работает. Это живой бордер. Кто сталкивался, подскажите пожалуйста. UPDATE: Все удалил, сделал заново. Теперь показывает : # sh "VR-WORLD" Virtual Router : VR-WORLD Type : Non-VPN VRF Operational State : Up IPv4 Admin State : Enabled IPv6 Admin State : Enabled IPv4 Route Sharing : Disabled IPv6 Route Sharing : Disabled Parent VR : VR-Default Protocols Configured : -------------------------------------------------------------------- Protocol Process Configuration Protocol Name Name Module Name Instances -------------------------------------------------------------------- BGP bgp bgp-3 2 -------------------------------------------------------------------- VLANS : ISP_backup Virtual Router Totals : Total Protocols : 1 Max Protocols : 8 Total Ports : 0 Total Vlans : 1 Total IPv4 Vlans : 1 Total Ipv6 Vlans : 0 Active IPv4 Vlans : 1 Active Ipv6 Vlans : 0 Inactive IPv4 Vlans : 0 Inactive Ipv6 Vlans : 0 Но: * (vr VR-WORLD) x650 # create bgp neighbor xx.xx.xx.53 remote-AS-number YYYY Error! EBGP peer xx.xx.xx.53 not directly connected Хотя хост пингуется, все хорошо. Куда копать ?

Это вопрос? Без рута никак конечно-же