OpenForum RSS: Тематический каталог: Мультироутинг во FreeBSD, IPNAT + IPFW (ipfw freebsd forward route nat firewall) https://ns.opennet.ru/openforum/vsluhforumID3/39438.html Обсуждение статьи тематического каталога: Мультироутинг во FreeBSD, IPNAT + IPFW (ipfw freebsd forward route nat firewall)<br><br>Ссылка на текст статьи: http://www.opennet.ru/base/net/ipfw_multiroute.txt.html<br> Мультироутинг во FreeBSD, IPNAT + IPFW (ipfw freebsd forward route nat firewall) (Pahanivo) https://ns.opennet.ru/openforum/vsluhforumID3/39438.html#9 Thu, 21 Feb 2008 18:10:05 GMT &gt; options HZ=1000 # кол-во просматриваемых пакетов в очереди при шейпинге<br><br>бред сивой кабылы<br>это во первых не количество, а частота опроса девайса при активном device polling<br>во вторых к шейперу не иммет никакого отношения<br>во вторых постановка задачи сама по себе не понятна, соответственно непонятные и все последующие действия<br> Мультироутинг во FreeBSD, IPNAT + IPFW (ipfw freebsd forward... (Кирилл) https://ns.opennet.ru/openforum/vsluhforumID3/39438.html#8 Fri, 11 Jan 2008 13:22:14 GMT &gt; pass all from me to any keep-state<br><br>Опасное правило, вы тем самым даёте возможность вашему маршрутизатору инициировать соединения самостоятельно. Маршрутизатор не должен иметь возможности сам устанавливать соединения с кем либо.<br> Мультироутинг во FreeBSD, IPNAT + IPFW (ipfw freebsd forward... (conf) https://ns.opennet.ru/openforum/vsluhforumID3/39438.html#6 Sat, 29 Dec 2007 13:01:26 GMT В догонку: я не понимаю почему раньше проблем с фрагментированными пакетами не было (я даже не задумывался о них), а теперь пришлось их разрешить, т.к. в /var/log/security<br><br>Dec 29 12:01:34 rto kernel: ipfw: 65534 Deny TCP 195.16.50.18 1.1.1.2 in via fxp0 (frag 33180:8@1472)<br>Dec 29 12:01:34 rto kernel: ipfw: 65534 Deny TCP 195.16.50.18 1.1.1.2 in via fxp0 (frag 33181:8@1472)<br>Dec 29 12:01:36 rto kernel: ipfw: 65534 Deny TCP 195.16.50.18 1.1.1.2 in via fxp0 (frag 35141:8@1472)<br>Dec 29 12:01:40 rto kernel: ipfw: 65534 Deny TCP 195.16.50.18 1.1.1.2 in via fxp0 (frag 40387:8@1472)<br>Dec 29 12:01:48 rto kernel: ipfw: 65534 Deny TCP 195.16.50.18 1.1.1.2 in via fxp0 (frag 47718:8@1472<br><br>Это при входе на интернет-банк клиент страницку.<br><br>А вывод о том, что все идет через дефалтгейтвей по логам видно было:<br>Dec 29 00:28:35 rto kernel: ipfw: 65534 Deny TCP 192.168.5.105:1159 195.161.112.6:80 out via fxp0<br><br>ipmon настроить не получилось.. пусто в логе.<br><br>Спасибо. С наступающим.<br> Мультироутинг во FreeBSD, IPNAT + IPFW (ipfw freebsd forward... (max) https://ns.opennet.ru/openforum/vsluhforumID3/39438.html#5 Sat, 29 Dec 2007 12:50:03 GMT Да присуствует.. <br><br>Вот все настроечки, если ничего не забыл упомянуть:<br>--------------------------<br>rc.conf<br>defaultrouter="1.1.1.1"<br>ifconfig_fxp0="inet 1.1.1.2 netmask 255.255.255.240"<br>ifconfig_vr0="inet 2.2.2.2 netmask 255.255.255.0"<br>ifconfig_fxp1="inet 192.168.5.1 netmask 255.255.255.0"<br><br>firewall_enable="YES"<br>firewall_script="/usr/local/scripts/replug/rc.firewall"<br>ipnat_enable="YES"<br>ipnat_program="/sbin/ipnat -CF -f"<br>ipnat_rules="/usr/local/scripts/replug/ipnat.rules"<br>ipnat_flags=""<br>--------------------------<br>ipnat.rules<br>map fxp0 192.168.5.0/24 -&gt; 1.1.1.2/32 proxy port ftp ftp/tcp<br>map fxp0 192.168.5.0/24 -&gt; 1.1.1.2/32 portmap tcp/udp auto<br>map fxp0 192.168.5.0/24 -&gt; 1.1.1.2/32<br><br>map vr0 192.168.5.105/32 -&gt; 2.2.2.2/32 proxy port ftp ftp/tcp<br>map vr0 192.168.5.105/32 -&gt; 2.2.2.2/32 portmap tcp/udp auto<br>map vr0 192.168.5.105/32 -&gt; 2.2.2.2/32<br>Ну например, пустить какой-то хост, через другого провайдера. Правила натирования местами менять пробовал.<br>--------------------------<br>rc.firewall<br>### Мультироутинг во FreeBSD, IPNAT + IPFW (ipfw freebsd forward... (dm80) https://ns.opennet.ru/openforum/vsluhforumID3/39438.html#4 Sat, 29 Dec 2007 10:43:23 GMT &gt;Почему-то не работает =( Все на гейт по-умолчанию уходит... <br><br>опция IPFIREWALL_FORWARD в ядре присутствует? <br><br><br> Мультироутинг во FreeBSD, IPNAT + IPFW (ipfw freebsd forward... (max) https://ns.opennet.ru/openforum/vsluhforumID3/39438.html#3 Fri, 28 Dec 2007 21:35:44 GMT Почему-то не работает =( Все на гейт по-умолчанию уходит...<br> Мультироутинг во FreeBSD, IPNAT + IPFW (ipfw freebsd forward route nat firewall) (Дмитрий) https://ns.opennet.ru/openforum/vsluhforumID3/39438.html#2 Thu, 20 Dec 2007 22:52:20 GMT Пардон за неточность. Спасибо, что поправили. :) Насчет клиента - совершенно верно, маскируем его 32 битами (если речь идет не о сети а об отдельном клиенте). А насчет перенаправления пакетов - перед правилами форвардинга - можно добавить правило<br>/sbin/ipfw add pass all from me to any keep-state<br> Мультироутинг во FreeBSD, IPNAT + IPFW (ipfw freebsd forward route nat firewall) (PavelR) https://ns.opennet.ru/openforum/vsluhforumID3/39438.html#1 Tue, 18 Dec 2007 04:25:52 GMT &gt;options HZ=1000 # кол-во просматриваемых пакетов в очереди при шейпинге<br><br>Я как-то не понял этот момент :)<br><br><br><br>&gt;# клиента 192.168.0.3 маскируем адресом 194.1.1.202<br>&gt;map rl0 192.168.0.3/24 -&gt; 194.1.1.202/32 proxy port ftp ftp/tcp<br><br>ну если клиента, то наверное /32, или я опять чего-то не понял ?<br><br><br># следующие три правила перенаправляют пакеты на альтернативный шлюз для сети 194.1.1.200/29<br><br>А перед этими тремя правилами, _возможно_, надо добавить правила, которые разрешат прохождение пакетов в другие локальные подсетки (иначе пакет отправят на внешний рутер и там потеряют, не будет работать соединение из локальной сети с внешним айпи сервера).<br><br><br>