https://opennet.dev/openforum/vsluhforumID1/97048.html Коллеги, прошу вправления мозгов.<br><br>Есть пограничный маршрутизатор под <br>root@border:/usr/home/oper # uname -a<br>FreeBSD border.ххх.ru 10.3-RELEASE FreeBSD 10.3-RELEASE #0 r297264: Fri Mar 25 02:10:02 UTC 2016 root@releng1.nyi.freebsd.org:/usr/obj/usr/src/sys/GENERIC amd64<br><br>Под ним поднята квагга, на два интерфейса, igb0 и igb1 (у них адреса от провайдеров /30)<br>Все шустрит во внутренний re0 и далее во внутреннюю сеть по реальным адресам. <br><br>Задача. На том же маршрутизаторе организовать NAT серых адресов из внутренней сети в инет. Обычно пользуюсь ядерным, но и natd не является преградой (маленькая нагрузка). <br><br>ПРОБЛЕМА. nat привязывается к интерфейсу (???) <br>а у меня их, входящих, два, поделенных как б-п положит. то есть я не могу предположить куда уйдет исходящий и откуда прилетит входящий. <br><br>Отсюда вопросы:<br>- что делать?<br>- возможно ли правила nat отвязать от интерфейсов? (ибо нат по сути идет позже роутинга для исходящих и до роутинга для входящих)<br>- можно ли как то объединить мои внешние в https://opennet.dev/openforum/vsluhforumID1/97048.html#4 Tue, 21 Nov 2017 07:46:58 GMT &gt; ПРОБЛЕМА. nat привязывается к интерфейсу (???) <br>&gt; а у меня их, входящих, два, поделенных как б-п положит. то есть <br>&gt; я не могу предположить куда уйдет исходящий и откуда прилетит входящий. <br><br>выделить для ната пул адресов повешать алиасом на lo0, а дальше все стандартно<br> <br><br>ipfw add 500 nat tablearg ip from any to table\(2\) in recv ix0<br>ipfw add 500 nat tablearg ip from any to table\(2\) in recv ix1<br>ipfw add 500 nat tablearg ip from table\(1\) to any out recv ix3<br><br>ipfw nat 240 config ip xx.xx.xx.240 same_ports reset<br>ipfw table 1 add 172.16.0.0/24 240<br>ipfw table 1 add 172.16.30.0/24 240<br>ipfw table 2 add xx.xx.xx.240 240<br>и т.д.<br> https://opennet.dev/openforum/vsluhforumID1/97048.html#3 Tue, 21 Nov 2017 02:35:25 GMT &gt;[оверквотинг удален]<br>&gt; ПРОБЛЕМА. nat привязывается к интерфейсу (???) <br>&gt; а у меня их, входящих, два, поделенных как б-п положит. то есть <br>&gt; я не могу предположить куда уйдет исходящий и откуда прилетит входящий. <br>&gt; Отсюда вопросы: <br>&gt; - что делать?<br>&gt; - возможно ли правила nat отвязать от интерфейсов? (ибо нат по сути <br>&gt; идет позже роутинга для исходящих и до роутинга для входящих) <br>&gt; - можно ли как то объединить мои внешние в один виртуальный, но <br>&gt; так, чтобы квагга продолжала работать?<br>&gt; Простите, если сумбур. Перепробовал всякого, но, видно, в чем то лихо запутался. <br><br>Правильно понял, что у вас своя автономка и блок адресов? Если да, то план такой:<br><br>1. выбираете под какой из ваших реальных адресов будете натить (адрес можно не прописывать на интерфейс маршрутизатора).<br>2. natd запускаете с флагом natd_flags="-a хх.хх.хх.хх", где хх.хх.хх.хх - выбранный вами адрес<br>3. в файрволе дивертите исходящий и входящий трафик через оба внешних интерфейса в natd<br>ipfw divert 8668 ip from 192.168.1.0/24 https://opennet.dev/openforum/vsluhforumID1/97048.html#2 Sun, 19 Nov 2017 16:16:55 GMT &gt; https://geektimes.ru/post/82656/ гляньте <br><br>не. там вводные другие. у дядьки BGP на L3 коммутаторе. В смысле с нета он принимает две сессии, как то их жует и отдает на брас лишь дефолты. <br><br>У меня же -- прям на рутер приходятЪ фульвью, на разные интерфейсы. <br>и вот есть свербинка в моей тыковке, что либо можно нат не привязывать к конкретному интерфейсу, либо сделать виртуальный ифейс, или вообще попытаться натить на адресе внутреннего интерфейса, благо он тоже белый. <br><br>все вот эти "на ipfw филтруем, а на pf натим" -- могобыть оно и работает, но уж очень костыльно выглядит. <br><br><br><br><br><br><br> https://opennet.dev/openforum/vsluhforumID1/97048.html#1 Sat, 18 Nov 2017 18:02:37 GMT https://geektimes.ru/post/82656/ гляньте<br>