Grezz 3 Опубликовано: 2011-04-11 15:28:29 Share Опубликовано: 2011-04-11 15:28:29 Хелп, зашел в тупик. Нужно поднять 2 ната с помощью pf на freebdsd 8.0. Нужно направить одну подсеть в один канал, другую подсеть в другой канал, и что б первая подсеть видела ресурсы второго канала. Для начала просто пытаюсь пустить одну сеть и один канал, другую в другой. PF подключал как модуль. rc.conf: ifconfig_em0="172.16.1.230/24" ifconfig_em1="192.168.1.10/24" ifconfig_em2="10.10.10.2/24" defaultrouter="172.16.1.1" hostname="gateway" sshd_enable="YES" named_enable="YES" gateway_enable="YES" pf_enable="YES" pflog_enable="YES" pf.conf: int_if="em1" ext_if="em0" ext_if2="em2" ext_gw="172.16.1.1" ext_gw2="10.10.10.1" table <nat_user1> persist {192.168.1.0/24} table <nat_user2> persist {192.168.2.0/24} nat on $ext_if inet from <nat_user1> to any -> ($ext_if) nat on $ext_if2 inet from <nat_user2> to any -> ($ext_if2) pass out route-to ($ext_if 172.16.1.1) inet from ($ext_if) to any pass out route-to ($ext_if2 10.10.10.1) inet from ($ext_if2) to any Добился того что сейчас оправляет сеть <nat_user1> через 172.16.1.1, а сеть <nat_user2> через 10.10.10.1 отправлять не хочет. В чем грабли? Что не так? Ссылка на сообщение Поделиться на других сайтах
Grezz 3 Опубліковано: 2011-04-13 06:14:47 Автор Share Опубліковано: 2011-04-13 06:14:47 Никто не отвечает потому что никто не знает или потому что это так элементарно и меня своим молчанием отправляют на гугл? Ссылка на сообщение Поделиться на других сайтах
Kucher2 122 Опубліковано: 2011-04-13 06:45:07 Share Опубліковано: 2011-04-13 06:45:07 В своё время мне в подобной ситуации посоветовали посмотреть куда доходят пакеты. Ссылка на сообщение Поделиться на других сайтах
natiss 16 Опубліковано: 2011-04-13 13:59:19 Share Опубліковано: 2011-04-13 13:59:19 1. Где на сервере айпи из сети {192.168.2.0/24}? rc.conf ни о чем не говорит, надо приводить ifconfig 2. pass out route-to ($ext_if 172.16.1.1) inet from ($ext_if) to any pass out route-to ($ext_if2 10.10.10.1) inet from ($ext_if2) to any убрать 3, если defaultrouter="172.16.1.1", то пакеты никогда не пойдут к другому хосту. 4, работа с 2-мя каналами это или bgp или множественые таблицы маршрутизации: в вашем случае надо так # setfib 1 route add 0 10.10.10.1 # ipfw add 101 setfib 1 ip from 192.168.2.0/24 to any in recv em1 ( я ж так понимаю на нем она алиасом намалёвана) И всё. В своё время мне в подобной ситуации посоветовали посмотреть куда доходят пакеты. небойсь на маршрутизаторах аплинков смотрели? поделитесь еще бесценным опытом. Ссылка на сообщение Поделиться на других сайтах
natiss 16 Опубліковано: 2011-04-13 14:01:07 Share Опубліковано: 2011-04-13 14:01:07 Никто не отвечает потому что никто не знает или потому что это так элементарно и меня своим молчанием отправляют на гугл? кстати с гугле 90% ссылок будет из прошлого века с natd Ссылка на сообщение Поделиться на других сайтах
FonOdinus 92 Опубліковано: 2011-04-13 14:52:29 Share Опубліковано: 2011-04-13 14:52:29 http://www.bsdportal.ru/viewtopic.php?p=120380 Ссылка на сообщение Поделиться на других сайтах
andr1y 4 Опубліковано: 2011-04-13 15:06:32 Share Опубліковано: 2011-04-13 15:06:32 краще канали розділяти не pf-ом, а через ipfw setfib Ссылка на сообщение Поделиться на других сайтах
natiss 16 Опубліковано: 2011-04-13 15:39:04 Share Опубліковано: 2011-04-13 15:39:04 краще канали розділяти не pf-ом, а через ipfw setfib а одно другому не мешает вы понатьте гигабит через ipfw nat ... Ссылка на сообщение Поделиться на других сайтах
andr1y 4 Опубліковано: 2011-04-13 16:50:56 Share Опубліковано: 2011-04-13 16:50:56 краще канали розділяти не pf-ом, а через ipfw setfib а одно другому не мешает вы понатьте гигабит через ipfw nat ... натити можна і через пф, я про розділення каналів Ссылка на сообщение Поделиться на других сайтах
natiss 16 Опубліковано: 2011-04-13 17:56:03 Share Опубліковано: 2011-04-13 17:56:03 натити можна і через пф, я про розділення каналів А якi ще засоби роздiлення доречнi в такому випадку? BGP у хлопця нема. Що ще окрiм окремих таблиць маршрутизацiй запропонуэте, га? Да, и что значит "можно". Можно выбирать из всего разнобразия методов (минимум 5, а есть еще и ppp нат) при 1-2 kkps. На 100kpps вариантов просто нет. Ссылка на сообщение Поделиться на других сайтах
Kucher2 122 Опубліковано: 2011-04-13 19:38:51 Share Опубліковано: 2011-04-13 19:38:51 В своё время мне в подобной ситуации посоветовали посмотреть куда доходят пакеты. небойсь на маршрутизаторах аплинков смотрели? поделитесь еще бесценным опытом. При чём тут чьи-то маршрутизаторы, дело было как раз со шлюзом BSD 8-ой версии. Правда в итоге с pf я распрощался, но это другая история. Ссылка на сообщение Поделиться на других сайтах
natiss 16 Опубліковано: 2011-04-13 20:22:48 Share Опубліковано: 2011-04-13 20:22:48 В своё время мне в подобной ситуации посоветовали посмотреть куда доходят пакеты. не куда уходят, а куда ДОХОДЯТ посмотреть это можно только на хосте-получателе. вот меня и заинтересовало, у вас есть хосты в интернете с рутовым доступом, или вы сразу уже на маршрутизаторах аплинков мониторили? короче, я к тому, что в общем случае мониторингу подвласнты только пакеты которые УХОДЯТ. и то это справедливо только на эзернет интерфейсах. попробуйте запустить тисидамп в туннельном интерфейсе, да еще и с натом... что вы там увидите? Ссылка на сообщение Поделиться на других сайтах
Kucher2 122 Опубліковано: 2011-04-14 11:44:59 Share Опубліковано: 2011-04-14 11:44:59 В общем не важно, смысл вы поняли. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас