oberon85 Опубликовано: 3 березня, 2015 Опубликовано: 3 березня, 2015 Доброго времени суток. Тем затертая, но не понимаю что не так, прочитал кучу статей, перепробовал много вариантов - не получается. uname -a FreeBSD nadejda 9.3-RELEASE FreeBSD 9.3-RELEASE #3: Tue Mar 3 01:21:41 EET 2015 root@nadejda:/usr/obj/usr/src/sys/NADEJDA i386 options IPFIREWALL options IPFIREWALL_FORWARD options IPDIVERT options IPFIREWALL_DEFAULT_TO_ACCEPT options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=1000 options DUMMYNET options IPFIREWALL_NAT options LIBALIAS options HZ=1000 options ROUTETABLES=10 options QUOTA options DEVICE_POLLING Есть два провайдера Wega и УТ Есть 2 vlan в локальной сети, 200 - офис, 210 - гостевой vlan100: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 ether c8:3a:35:d8:f3:24 media: Ethernet autoselect (100baseTX <full-duplex>) status: active vlan: 100 parent interface: rl0 vlan101: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 ether c8:3a:35:d8:f3:24 inet 82.200.31.237 netmask 0xfffffc00 broadcast 82.207.39.255 media: Ethernet autoselect (100baseTX <full-duplex>) status: active vlan: 101 parent interface: rl0 vlan200: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 options=1<RXCSUM> ether 00:1f:d0:0f:6b:be inet 192.168.10.254 netmask 0xffffff00 broadcast 192.168.10.255 media: Ethernet autoselect (1000baseT <full-duplex,master>) status: active vlan: 200 parent interface: re0 vlan210: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 options=1<RXCSUM> ether 00:1f:d0:0f:6b:be inet 192.168.20.254 netmask 0xffffff00 broadcast 192.168.20.255 media: Ethernet autoselect (1000baseT <full-duplex,master>) status: active vlan: 210 parent interface: re0 tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1492 options=80000<LINKSTATE> inet 178.10.0.11 --> 213.211.200.213 netmask 0xffffffff Opened by PID 633 нужно что бы гостевой vlan ходил в инет через УТ офис через Wega. #!/bin/sh # firewall command FwCMD="/sbin/ipfw -q" ${FwCMD} -f flush # Networks define ${FwCMD} table 2 add 192.168.10.0/24 ${FwCMD} table 3 add 192.168.20.0/24 ${FwCMD} add 100 allow ip from any to any via lo0 ${FwCMD} add setfib 1 ip from any to any recv vlan210 #NAT ${FwCMD} nat 1 config log if tun0 reset same_ports ${FwCMD} add 6000 nat 1 ip from table\(2\) to any ${FwCMD} add 6001 nat 1 ip from any to 178.10.0.11 via tun0 ${FwCMD} nat 2 config log if vlan101 reset same_ports ${FwCMD} add 6002 nat 2 ip from table\(3\) to any ${FwCMD} add 6003 nat 2 ip from any to 82.200.31.237 via vlan101 # default block policy ${FwCMD} add 65535 allow all from any to any Офис работает, а вот гостевой - нет, пинг ходит, страницы не открываться и инет отваливается через 3-4 минуты. Может у кого-то есть рабочий вариант поделитесь пож-ста решением.
major12 Опубліковано: 3 березня, 2015 Опубліковано: 3 березня, 2015 Покажіть маршрути в fib 1. І бажано задавати правила нат більш специфічно ${FwCMD} add 6000 nat 1 ip from table\(2\) to any via tun0 out ${FwCMD} add 6002 nat 2 ip from table\(3\) to any via vlan101 out Я колись реалізовував подібне через forward, але fib має бути елегантніше.
oberon85 Опубліковано: 3 березня, 2015 Автор Опубліковано: 3 березня, 2015 setfib 1 netstat -rn Routing tables Internet: Destination Gateway Flags Refs Use Netif Expire default 82.207.36.1 UGS 0 2959 vlan10 82.207.36.0/22 link#12 U 0 0 vlan10 127.0.0.1 link#10 UH 0 0 lo0 192.168.10.0/24 link#13 U 0 0 vlan20 192.168.20.0/24 link#14 U 0 1289 vlan21 213.227.192.203 link#15 UH 0 0 tun0
major12 Опубліковано: 3 березня, 2015 Опубліковано: 3 березня, 2015 У вас точно не наплутано ? inet 82.200.31.237 netmask 0xfffffc00 broadcast 82.207.39.255 гейт default 82.207.36.1
oberon85 Опубліковано: 3 березня, 2015 Автор Опубліковано: 3 березня, 2015 перепроверил, опечатка в первом посте. должно быть 207. 4 утра было уже(
major12 Опубліковано: 3 березня, 2015 Опубліковано: 3 березня, 2015 Напишіть ще який аплінк де. Ну і перевірка: з гостьової мережі telnet на якусь айпішку до якої трафіку в звичайних умовах немає і далі tcpdump -n -i <intf> host <ip_addr> дивитись кудою пакети йдуть.
Androidvd Опубліковано: 18 березня, 2015 Опубліковано: 18 березня, 2015 Попробуй так в начале фаервола ${FwCMD} add setfib 1 ip from 192.168.20.х/24 to any in recv ${LanIn210} пояснение все пакеты которые пришли с подсети LanIn1 (свой влан vlan210 интерфейс) отправлять через таблицу маршрутизации 1 ${FwCMD} add setfib 1 ip from table\(2\) to any in recv ${LanIn210} Пояснение: Все тоже только через таблицы а это правило для офиса ${FwCMD} add setfib 1 ip from 192.168.10.х/24 to any in recv ${LanIn200} А вот правила ната ${FwCMD} add nat 1 ip from ${Vlan200}/24 to any out via ${LanOut} ${FwCMD} add nat 2 ip from ${Vlan210}/24 to any out via ${LanOut1}
oberon85 Опубліковано: 2 червня, 2015 Автор Опубліковано: 2 червня, 2015 (відредаговано) Завелось. Просто как-то все одно на одно наложилось. Траблы УТ устраняли 2 недели + mtu нужно было 1492 вставлять (как-то пропустил) ${FwCMD} -f flush # Networks define ${FwCMD} table 2 add 192.168.10.0/24 ${FwCMD} table 3 add 192.168.20.0/24 ${FwCMD} add 100 allow ip from any to any via lo0 ${FwCMD} add setfib 1 ip from any to any recv vlan210 #NAT ${FwCMD} nat 1 config log if tun0 reset same_ports ${FwCMD} add 6000 nat 1 ip from table\(2\) to any out via tun0 ${FwCMD} add 6001 nat 1 ip from any to $ipif_vega in via tun0 ${FwCMD} nat 2 config log if vlan101 reset same_ports ${FwCMD} add 6002 nat 2 ip from table\(3\) to any out via vlan101 ${FwCMD} add 6003 nat 2 ip from any to ipif_ut in via vlan101 Всем спасибо за помощь. Відредаговано 2 червня, 2015 oberon85
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас