kvirtu 315 Posted 2011-12-28 16:12:19 Share Posted 2011-12-28 16:12:19 всем привет ! есть сервак на фре 7.2. Подключил второй канал, но не могу завернуть часть клиентов через него. вот прописал такие правила для второго канала: ${ipfw} nat 2 config ip 2.2.2.2 log same_ports ${ipfw} add 65050 nat 2 ip from pppoe_ip/24 to any ${ipfw} add 65055 fwd 2.2.2.254 ip from 2.2.2.2 to any ${ipfw} add 65060 nat 2 ip from any to 1.1.1.2 где 2.2.2.2 - белый IP на серваке (age0) , 2.2.2.254 - шлюз 2-го прова. пакеты не доходят до правила 65055, по ipfw show там нули. Скорее всего пакеты уходят на интерфес 1-го прова fxp0. КАК ЗАСТАВИТЬ уходить пакеты на интерфейс 2-го прова age0 ??? Использую kernel nat, переменная net.inet.ip.fw.one_pass=1 В rc.conf: default_gateway="1.1.1.254" - шлюз 1-го прова gateway_enable="YES" firewall_nat_enable="YES" firewall_nat_interface="fxp0" - cмотрит на 1-го прова firewall_script="/etc/MyFirewall" dummynet_enable="YES" Ядро собрано с: #IPFIREWALL options IPFIREWALL options IPFIREWALL_DEFAULT_TO_ACCEPT options DUMMYNET options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=1000 options IPFIREWALL_NAT options LIBALIAS options IPFIREWALL_FORWARD options IPFILTER options IPFILTER_LOG options IPDIVERT # options DEVICE_POLLING options HZ=1000 options ROUTETABLES=4 Link to post Share on other sites
kvirtu 315 Posted 2011-12-28 19:58:02 Author Share Posted 2011-12-28 19:58:02 пробовал: ${ipfw} nat 2 config ip 1.1.1.2 if age0 log same_ports не заработало ... В /etc/rc.conf firewall_nat_interface="fxp0" И все уходит через fxp0 Link to post Share on other sites
kvirtu 315 Posted 2011-12-29 15:13:30 Author Share Posted 2011-12-29 15:13:30 все еще в поиске решения ..... Link to post Share on other sites
adeep 212 Posted 2011-12-29 15:19:10 Share Posted 2011-12-29 15:19:10 net.inet.ip.fw.one_pass=0 ${ipfw} add 65060 nat 2 ip from any to 2.2.2.2 ну и вообще неплохо было бы показать ipfw list в момент работы. Link to post Share on other sites
kvirtu 315 Posted 2011-12-29 15:25:43 Author Share Posted 2011-12-29 15:25:43 net.inet.ip.fw.one_pass=0 ${ipfw} add 65060 nat 2 ip from any to 2.2.2.2 ну и вообще неплохо было бы показать ipfw list в момент работы. Да, должно быть 0, а у меня сейчас 1. Но буду пробовать уже завтра по утру. Сервер боевой. В общем нужно использовать Policy routing. Link to post Share on other sites
TTM 9 Posted 2011-12-29 15:50:33 Share Posted 2011-12-29 15:50:33 Если есть возможность перевести часть юзеров в другую подсеть, переведи и пропиши в таблице маршрутизации что бы подсеть уходила через другой шлюз Link to post Share on other sites
kvirtu 315 Posted 2011-12-29 15:52:34 Author Share Posted 2011-12-29 15:52:34 Если есть возможность перевести часть юзеров в другую подсеть, переведи и пропиши в таблице маршрутизации что бы подсеть уходила через другой шлюз возможность есть, завтра буду пробовать. скриптик уже есть. Link to post Share on other sites
kvirtu 315 Posted 2011-12-31 10:09:30 Author Share Posted 2011-12-31 10:09:30 Пока вопрос не решил, но понял почему не пашет. Использую mpd5, в конфиге прописано: set ipcp ranges 1.1.1.2/32 ippool pppoe - где 1.1.1.2 - мой реальник о 1-го прова, выходит что всем пользователям mpd присваивает шлюз по умолчанию 1.1.1.2. Как распределить в MPD , к примеру pppoe: 172.16.1.0/24 - шлюз 1.1.1.2 , а 172.16.2.0/24 - шлюз 2.2.2.2 ? Link to post Share on other sites
adeep 212 Posted 2011-12-31 11:21:44 Share Posted 2011-12-31 11:21:44 в мпд надо шлюзом указывать или несуществующий ип или ип с интерфейса. иначе будет путаница (если конечно не используете arp-proxy) Link to post Share on other sites
kvirtu 315 Posted 2011-12-31 12:09:04 Author Share Posted 2011-12-31 12:09:04 в мпд надо шлюзом указывать или несуществующий ип или ип с интерфейса. иначе будет путаница (если конечно не используете arp-proxy) ип с интерфейса - смотрящего в локалку ? Link to post Share on other sites
kvirtu 315 Posted 2012-01-05 08:48:32 Author Share Posted 2012-01-05 08:48:32 Вопрос решил. 1. В mpd.conf указал set ipcp ranges - адрес шлюза локальной сети (к примеру 10.1.1.1/32) 2. Обязательно Устанавливаем net.inet.ip.fw.one_pass=0 3. В правила ipfw дописываем: (в данном случае работает с биллингом Абилс) IPFW="/sbin/ipfw" EXT_IP="92.242.110.42" ISP_IP="92.242.110.41" FWD_NAT_ID=22 USER_TABLE_NUM=34 REDIRECT_IPS="10.0.0.0/24" #Add NAT IP to table ${IPFW} table 33 add ${EXT_IP} ${FWD_NAT_ID} ${IPFW} nat ${FWD_NAT_ID} config ip ${EXT_IP} log for ip_mask in ${REDIRECT_IPS} ; do ${IPFW} table ${USER_TABLE_NUM} add ${ip_mask} ${FWD_NAT_ID} done; ${IPFW} 60050 add nat tablearg ip from table(34) to any ${IPFW} 60055 add fwd ${ISP_IP} ip from ${EXT_IP} to any ${IPFW} 60060 add nat tablearg ip from any to table(33) Link to post Share on other sites
adeep 212 Posted 2012-01-05 09:16:58 Share Posted 2012-01-05 09:16:58 в мпд надо шлюзом указывать или несуществующий ип или ип с интерфейса. иначе будет путаница (если конечно не используете arp-proxy) ип с интерфейса - смотрящего в локалку ? с любого. главное чтобы этот ип не был привязан ни к одной другой машине/подсети в вашем пространстве. потому что он устанавливается как вторая точка туннелей у абонентов. Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now