pf & nat

[Grezz]

Хелп, зашел в тупик. Нужно поднять 2 ната с помощью pf на freebdsd 8.0. Нужно направить одну подсеть в один канал, другую подсеть в другой канал, и что б первая подсеть видела ресурсы второго канала. Для начала просто пытаюсь пустить одну сеть и один канал, другую в другой. PF подключал как модуль.

 

rc.conf:

ifconfig_em0="172.16.1.230/24"
ifconfig_em1="192.168.1.10/24"
ifconfig_em2="10.10.10.2/24"
defaultrouter="172.16.1.1"
hostname="gateway"
sshd_enable="YES"
named_enable="YES"
gateway_enable="YES"
pf_enable="YES"
pflog_enable="YES"

 

pf.conf:

int_if="em1"
ext_if="em0"
ext_if2="em2"
ext_gw="172.16.1.1"
ext_gw2="10.10.10.1"
table <nat_user1> persist {192.168.1.0/24}
table <nat_user2> persist {192.168.2.0/24}
nat on $ext_if inet from <nat_user1> to any -> ($ext_if)
nat on $ext_if2 inet from <nat_user2> to any -> ($ext_if2)
pass out route-to ($ext_if 172.16.1.1) inet from ($ext_if) to any
pass out route-to ($ext_if2 10.10.10.1) inet from ($ext_if2) to any

 

Добился того что сейчас оправляет сеть <nat_user1> через 172.16.1.1, а сеть <nat_user2> через 10.10.10.1 отправлять не хочет.

 

В чем грабли? Что не так?

[Grezz]

Никто не отвечает потому что никто не знает или потому что это так элементарно и меня своим молчанием отправляют на гугл?

[Kucher2]

В своё время мне в подобной ситуации посоветовали посмотреть куда доходят пакеты.

[natiss]

1. Где на сервере айпи из сети {192.168.2.0/24}?

rc.conf ни о чем не говорит, надо приводить ifconfig

2.

pass out route-to ($ext_if 172.16.1.1) inet from ($ext_if) to any

pass out route-to ($ext_if2 10.10.10.1) inet from ($ext_if2) to any

 

убрать

3, если defaultrouter="172.16.1.1", то пакеты никогда не пойдут к другому хосту.

4, работа с 2-мя каналами это или bgp или множественые таблицы маршрутизации:

в вашем случае надо так

 

# setfib 1 route add 0 10.10.10.1

 

# ipfw add 101 setfib 1 ip from 192.168.2.0/24 to any in recv em1

( я ж так понимаю на нем она алиасом намалёвана)

 

И всё.

 

В своё время мне в подобной ситуации посоветовали посмотреть куда доходят пакеты.

небойсь на маршрутизаторах аплинков смотрели? поделитесь еще бесценным опытом.

[natiss]

Никто не отвечает потому что никто не знает или потому что это так элементарно и меня своим молчанием отправляют на гугл?

кстати с гугле 90% ссылок будет из прошлого века с natd

[FonOdinus]

http://www.bsdportal.ru/viewtopic.php?p=120380

[andr1y]

краще канали розділяти не pf-ом, а через ipfw setfib

[natiss]

краще канали розділяти не pf-ом, а через ipfw setfib

а одно другому не мешает

вы понатьте гигабит через ipfw nat ...

[andr1y]

краще канали розділяти не pf-ом, а через ipfw setfib

а одно другому не мешает

вы понатьте гигабит через ipfw nat ...

 

натити можна і через пф, я про розділення каналів

[natiss]

 

натити можна і через пф, я про розділення каналів

А якi ще засоби роздiлення доречнi в такому випадку? BGP у хлопця нема. Що ще окрiм окремих таблиць маршрутизацiй запропонуэте, га?

Да, и что значит "можно". Можно выбирать из всего разнобразия методов (минимум 5, а есть еще и ppp нат) при 1-2 kkps. На 100kpps вариантов просто нет.

[Kucher2]

В своё время мне в подобной ситуации посоветовали посмотреть куда доходят пакеты.

небойсь на маршрутизаторах аплинков смотрели? поделитесь еще бесценным опытом.

 

При чём тут чьи-то маршрутизаторы, дело было как раз со шлюзом BSD 8-ой версии.

Правда в итоге с pf я распрощался, но это другая история.

[natiss]

В своё время мне в подобной ситуации посоветовали посмотреть куда доходят пакеты.

не куда уходят, а куда ДОХОДЯТ

посмотреть это можно только на хосте-получателе. вот меня и заинтересовало, у вас есть хосты в интернете с рутовым доступом, или вы сразу уже на маршрутизаторах аплинков мониторили? короче, я к тому, что в общем случае мониторингу подвласнты только пакеты которые УХОДЯТ. и то это справедливо только на эзернет интерфейсах. попробуйте запустить тисидамп в туннельном интерфейсе, да еще и с натом... что вы там увидите?

[Kucher2]

В общем не важно, смысл вы поняли.