lex.lviv 1 Опубликовано: 2011-10-07 06:44:56 Share Опубликовано: 2011-10-07 06:44:56 Доброго времени. воБщем старые грабли с разделением каналов. Есть 2 канала (вообщето даже 3 один резерв) 1 чисто для икс один для мир. проблема в следующем. привезли да вручили уже простроеный сервер с ноденай. вот тут я и с бубном начал танцевать... ибо настроеный фаервол что стоял в системе ни в коем случае не хочет жрать ни форвардинга ни сетфиб. когда подсовывав фаер с офф сайта - системе была мертва.... . ето грабли 1. грабли 2, что решил сделать все ето на микротике... и опять же уперся лбом в кучу левых мануалов и ступпор .... гдето на форуме помню читал что на микротике делали разделение ... помогите убогому. ткните пальцем(помидорами тоже можна) система freebsd 7.4+ nodeny gw# ifconfig em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 ###################### Локалка options=209b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_MAGIC> ether 00:30:48:2d:a9:cc inet 10.0.0.1 netmask 0xff000000 broadcast 10.255.255.255 inet 172.16.0.51 netmask 0xffffff00 broadcast 172.16.0.255 media: Ethernet autoselect (100baseTX <full-duplex>) status: active em1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 ###################### мир options=209b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_MAGIC> ether 00:30:48:2d:a9:cd inet 172.31.2.2 netmask 0xffffff00 broadcast 172.31.2.255 ###################### сюдою мир inet 192.168.1.2 netmask 0xffffff00 broadcast 192.168.1.255 ######################сюдою Украина media: Ethernet autoselect (100baseTX <full-duplex>) status: active предполагалось пустить через одну карту 2 направления gw# ipfw list 00040 allow tcp from any to me dst-port 22 00041 allow tcp from me 22 to any 00075 setfib 0 ip from not table(126) to me in 00076 setfib 1 ip from table(126) to me in 00077 setfib 0 ip from me to not table(126) 00078 setfib 1 ip from me to table(126) 00080 count ip from any to table(126) out 00081 count ip from table(126) to any out 00086 count ip from any to table(10) out 00087 count ip from table(10) to any out 00095 allow tcp from any to any dst-port 1723 00096 allow gre from any to any 00100 deny tcp from any to any dst-port 445 00110 allow ip from any to any via lo 00120 skipto 1000 ip from me to any 00130 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17 00140 deny ip from any to table(120) 00150 deny ip from table(120) to any 00160 skipto 2000 ip from any to me 00200 skipto 500 ip from any to any via em1 00300 skipto 4500 ip from any to any in 00400 skipto 450 ip from any to any recv em1 00420 tee 1 ip from any to any 00450 tee 2 ip from any to any 00490 allow ip from any to any 00500 skipto 32500 ip from any to any in 00510 tee 1 ip from any to any 00540 allow ip from any to any 01000 allow udp from any 53,7723 to any 01010 allow tcp from any to any setup keep-state 01020 allow udp from any to any keep-state 01100 allow ip from any to any 02000 check-state 02010 allow icmp from any to any 02020 allow tcp from any to any dst-port 80,443 02025 allow tcp from any to any dst-port 80,5006 02050 deny ip from any to any via em1 02060 allow udp from any to any dst-port 53,7723 02100 deny ip from any to any 05000 deny ip from not table(0) to any 05001 skipto 5010 ip from table(127) to table(126) 05002 skipto 5030 ip from any to not table(2) 05003 deny ip from any to not table(1) 05004 pipe tablearg ip from table(21) to any 05005 deny ip from any to any 05010 pipe tablearg ip from table(127) to any 05030 deny tcp from table(15) to any dst-port 25 05146 allow ip from table(47) to table(46) 05226 allow ip from table(127) to table(126) 05400 pipe tablearg ip from table(11) to any 32000 deny ip from any to any 32490 deny ip from any to any 33000 pipe tablearg ip from table(126) to table(127) 33001 skipto 33010 ip from not table(2) to any 33002 pipe tablearg ip from any to table(20) 33003 deny ip from any to any 33146 allow ip from table(46) to table(47) 33226 allow ip from table(126) to table(127) 33400 pipe tablearg ip from any to table(10) 65535 allow ip from any to any gw# метод научного тыка показал что в таблице 0 - в тырнет можно в таблице 126 - уаикс пс. фаер не мой.... что есть то есть Для вариантом с микротиком /ip firewall mangle> print Flags: X - disabled, I - invalid, D - dynamic 0 chain=prerouting action=mark-routing new-routing-mark=farlep1 passthrough=yes src-address=192.168.0.1-192.168.0.130 1 chain=prerouting action=mark-routing new-routing-mark=farlep2 passthrough=yes src-address=172.31.2.2 2 X ;;; Mark-connection All Traffic chain=prerouting action=mark-connection new-connection-mark=Con Entire Traffic passthrough=yes src-address=172.31.2.0/24 3 X ;;; Mark-connection Oversea Traffic chain=prerouting action=mark-connection new-connection-mark=Con Oversea passthrough=yes src-address=172.31.2.0/24 dst-address-list=!ua-ix connection-mark=Con Entire Traffic 4 X ;;; Mark-packet Oversea Traffic chain=prerouting action=mark-packet new-packet-mark=Oversea traffic passthrough=no connection-mark=Con Oversea 5 X ;;; Mark-packet Local Country Traffic chain=prerouting action=mark-packet new-packet-mark=Local Country Traffic passthrough=no правила 2-3-4-5 по мануалу должны кагбэ разделать токо нини может по усталости чтото гдето профтыкал. буду благодарен если направите в какую сторону рыть Ссылка на сообщение Поделиться на других сайтах
leshik 13 Опубліковано: 2011-10-07 07:30:49 Share Опубліковано: 2011-10-07 07:30:49 Жуть, на что идут люди, ради мистичекой экономии на разнице в цене ua-ix и мира. Ссылка на сообщение Поделиться на других сайтах
Tux 24 Опубліковано: 2011-10-07 07:34:21 Share Опубліковано: 2011-10-07 07:34:21 выгода есть, но чтобы не было проблем с маршрутизацией и прочим, должен быть as+pi Ссылка на сообщение Поделиться на других сайтах
leshik 13 Опубліковано: 2011-10-07 07:52:05 Share Опубліковано: 2011-10-07 07:52:05 выгода есть, но чтобы не было проблем с маршрутизацией и прочим, должен быть as+pi Выгода есть только в Киеве и при скоростях 1/100 Мбит. Как только скорость внешки дотягивается до 100Мбит реальная выгода (стоимость портов, загрузка маршрутизатора и крики кастомеров "ААА! Я думал это Украина".) настолько ничтожна, что всеми этими нагибаниями мозга можно не заниматься. Тем более, все проделывать во львове. Ссылка на сообщение Поделиться на других сайтах
andr1y 4 Опубліковано: 2011-10-07 08:02:23 Share Опубліковано: 2011-10-07 08:02:23 для розділення каналів я на ua-ix скриптом роблю окремі маршрути, сервер не навантажується і працює надійно #!/usr/local/bin/bash route flush sleep 2 route add default [ір основного шлюза] sleep 2 cat /usr/local/nodeny/prefixes.txt | xargs -I tst route add -net tst [ІР шлюза юаікс] exit ну і відповідно файлик /usr/local/nodeny/prefixes.txt скачується раз в добу по крону - /usr/local/bin/wget -q -b -nd -P /usr/local/nodeny -m http://www.colocall.net/ua/prefixes.txt Ссылка на сообщение Поделиться на других сайтах
lex.lviv 1 Опубліковано: 2011-10-07 08:48:45 Автор Share Опубліковано: 2011-10-07 08:48:45 Жуть, на что идут люди, ради мистичекой экономии на разнице в цене ua-ix и мира. гыгыгы у меня когдато жуть стояла - на 4 дыры .... + на алькар + на пчеловодов но как показала практика ех.уа решил абсолютно все.... вот и танец с бубном есть один канал с прекрасными пингами по украине и большой, дешевый уаикс...(хотя там мир тоже большой) без ип. как токо ипы, цена * много раз второй канал - пинги по скромнее(хотя тоже иксовый) но оттудого мне АС дают для розділення каналів я на ua-ix скриптом роблю окремі маршрути, сервер не навантажується і працює надійно #!/usr/local/bin/bash route flush sleep 2 route add default [ір основного шлюза] sleep 2 cat /usr/local/nodeny/prefixes.txt | xargs -I tst route add -net tst [ІР шлюза юаікс] exit ну і відповідно файлик /usr/local/nodeny/prefixes.txt скачується раз в добу по крону - /usr/local/bin/wget -q -b -nd -P /usr/local/nodeny -m http://www.colocall.net/ua/prefixes.txt благодарю. вечером запробую Ссылка на сообщение Поделиться на других сайтах
KaYot 3 708 Опубліковано: 2011-10-07 09:05:19 Share Опубліковано: 2011-10-07 09:05:19 А по бгп перфиксы залить не могут что ли? Тут ни адреса, ни AS не нужна как бы, а так адский костыль получается. Ссылка на сообщение Поделиться на других сайтах
andr1y 4 Опубліковано: 2011-10-07 09:08:42 Share Опубліковано: 2011-10-07 09:08:42 А по бгп перфиксы залить не могут что ли? Тут ни адреса, ни AS не нужна как бы, а так адский костыль получается. Ну я б не сказав що це погане рішення, в мене так вже 2 роки працює - 2 скрипта що запускаються по крону раз в добу, це ще не "адский костыль" Ссылка на сообщение Поделиться на других сайтах
KaYot 3 708 Опубліковано: 2011-10-07 09:38:54 Share Опубліковано: 2011-10-07 09:38:54 Если любой канал падает - вы остаетесь без инета, нужно срочно лезть в скрипты/фаерволы и все переделывать. Ссылка на сообщение Поделиться на других сайтах
andr1y 4 Опубліковано: 2011-10-07 09:46:04 Share Опубліковано: 2011-10-07 09:46:04 Если любой канал падает - вы остаетесь без инета, нужно срочно лезть в скрипты/фаерволы и все переделывать. для резервування каналів я також написав скрипт який кожних 2 хв перевіряє доступність кожного з каналів і в разі чого через setfib переключає на інший, один раз посидів і написав всі ці скрипти і вже 2 роки до того не дивлюсь - працює без збоїв як годинник ) Ссылка на сообщение Поделиться на других сайтах
andr1y 4 Опубліковано: 2011-10-07 09:48:23 Share Опубліковано: 2011-10-07 09:48:23 Також в білінгу зробив собі до кожного користувача кнопку де можна вибирати через який саме канал цей користувач має працювати, дуже рідко але інколи цим користуюсь коли хтось скаржиться на пінг чи ще щось. Ссылка на сообщение Поделиться на других сайтах
lex.lviv 1 Опубліковано: 2011-10-09 10:24:51 Автор Share Опубліковано: 2011-10-09 10:24:51 Допомогло але не дуже. то пакети по одному каналу побіжать. декілька секунд - по іншому вже валять... то світ по каналу для уа.... то уа через світ, то все ок. вже думаю поставити 2 мережеву і не мати мороки Ссылка на сообщение Поделиться на других сайтах
Abram 98 Опубліковано: 2011-10-09 11:02:05 Share Опубліковано: 2011-10-09 11:02:05 BGP. </thread> Ссылка на сообщение Поделиться на других сайтах
lex.lviv 1 Опубліковано: 2011-10-09 12:36:05 Автор Share Опубліковано: 2011-10-09 12:36:05 про бгп уже вычитал. но мне не дают ас.... решил проблему микротиком 1. залил на него список уа-их 2. зделал фильтрование 2.1 уаикс - в дыру 1 2.2 все остальное в дыру2 спасибо тему можно закрыть Ссылка на сообщение Поделиться на других сайтах
KaYot 3 708 Опубліковано: 2011-10-09 12:44:14 Share Опубліковано: 2011-10-09 12:44:14 AS для заливки маршрутов не нужна. Поговорите со своим аплинкером, поднять сессию на фейковых адресах дело 10 минут. Ссылка на сообщение Поделиться на других сайтах
Mobil 68 Опубліковано: 2011-10-09 13:32:02 Share Опубліковано: 2011-10-09 13:32:02 используете BGP и будем Вам счастье. Ссылка на сообщение Поделиться на других сайтах
lex.lviv 1 Опубліковано: 2011-10-10 07:22:09 Автор Share Опубліковано: 2011-10-10 07:22:09 та уже все бегает пока без бгп.... с провайдером говорить бесполезно.(ну не совсем) пол года не могли подключить мне ас, которую я арендую... практика стандартная - на телефоне девочка.... которая ничего не знает... дальше переключат на такого же мальчика(думают что звонят обычные абоны...) ну час на телефоне и таки на шарющих попасть можно.... Ссылка на сообщение Поделиться на других сайтах
KaYot 3 708 Опубліковано: 2011-10-10 07:32:56 Share Опубліковано: 2011-10-10 07:32:56 та уже все бегает пока без бгп.... с провайдером говорить бесполезно.(ну не совсем) пол года не могли подключить мне ас, которую я арендую... практика стандартная - на телефоне девочка.... которая ничего не знает... дальше переключат на такого же мальчика(думают что звонят обычные абоны...) ну час на телефоне и таки на шарющих попасть можно.... Ничего не понятно. Если вы берете канал как провайдер - вас априори должны были включить по bgp, какие там ас и чьи они - сугубо ваше дело. Да и звонить по любым вопросом нужно по контактам записанным в договоре, определенно не девочка будет трубку брать) Если конечно включение как для офиса или вообще абонента - понятно что никому вы не нужны будете. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас