https://opennet.ru/openforum/vsluhforumID6/15237.html вообщем, внутренний сервер, аля DMZ, организовываю, а чего-то не может локалка в инет попасть через него<br>схема следующая: локалко -&gt; gateway1 (GW1 он же DMZ) -&gt; GW2, куда воткнут кабель провайдера<br>на этом DMZ прокси подняты, мейл-сервер.. вообщем, все сервисы, которые нужны локалке для выхода в инет. сама локалка выход в инет прямой не имеет, бо блокировано правилами ipfw на DMZ-сервере<br>но я тестировал с allow all from any to any<br>не хочетъ.<br><br>настройки такие:<br>gateway_enable="YES" - на обоих серверах<br><br>GW1<br>IP1 192.168.15.99/24 - смотрит в локалку<br>IP2 192.168.20.99/24 - кабель к GW2<br>default router 192.168.20.14<br><br>GW2<br>IP1 192.168.20.14/24 - кабель от GW1<br>IP2 провайдерский IP<br>default router провайдерский GW<br><br>короче: локалка -&gt; DMZ -&gt; GW -&gt; inet<br><br>ну вот.. с машины 192.168.15.1/24 пингуем 192.168.20.14<br>в логах GW1 всё прошло.. пришло с интерфейса локалки, ушло на интерфейс до GW2<br>в логах GW2 он принимает по интерфейсу от GW1 пакет ICMP 8 и запускает в инет ICMP 0.. ну типа там ищите 192.168.20.1 https://opennet.ru/openforum/vsluhforumID6/15237.html#19 Fri, 07 Mar 2008 04:13:48 GMT &gt;2модератор: Почему Вы удали мое сообщение? В нем разве содержиться офф-топик или <br>&gt;оскорбление freebsd ? <br><br>в нём походу содержалось ещё больше тафтологии, чем в этом сообщении, а главное - непонимание сути этой ветки<br><br><br>&gt;Откройте документацию к vyatta и посмотрите - там вполне доступно описано <br>&gt;опять повторюсь без "бубнов", "напильников", "танцев"...и тд <br><br>ЗАКРОЙТЕ документацию к vyatta. где я про vyatta писал? нах она мне нужна? сам её юзай и понимай.<br> https://opennet.ru/openforum/vsluhforumID6/15237.html#18 Mon, 25 Feb 2008 14:51:30 GMT 15.1 стал пинговаться со шлюза (15.1 - это виндусовая машина, кстати, на которой дефолтом прописан роутер GW1)<br>был момент в этих танцах, когда пинговался и сам 20.14 с 15.1<br>но в инет попасть так и не удалось... короче я чувствую, что не до конца понимаю, что я делаю так, а что не так...<br><br>по-моему данное высказывание свидетельсвует о не понимание сути.<br>было-бы здорово получить здравы и адекватные ответы на мои вопросы<br>А что для Вас дорого?<br>А почему Вы решили, что это дорого, а вот это не дорого ?<br>ненужно мерить по-своим понятям, которых между прочим видимо нет.<br>Откройте документацию к vyatta и посмотрите - там вполне доступно описано<br>опять повторюсь без "бубнов", "напильников", "танцев"...и тд<br><br><br>2модератор: Почему Вы удали мое сообщение? В нем разве содержиться офф-топик или оскорбление freebsd ?<br><br><br><br> https://opennet.ru/openforum/vsluhforumID6/15237.html#17 Mon, 25 Feb 2008 11:29:31 GMT &gt;[оверквотинг удален]<br>&gt;Вопрос &#8470;1:Почему нельзя установить специализированный Linux-дистрибутив?, например vyatta, на сайте, которого <br>&gt;есть адекватная документация, причем хочу заметить, что данная настройка осущетсвляется без <br>&gt;применения: "бубнов", "напильников", "химичинья" и прочих freebsd-инструментов. <br>&gt;Вопрос &#8470;2: Почему нельзя использовать аппаратные решения, наприер Cisco ? <br>&gt;(возможный ответ : религия freebsd называет все патное ПО и АО - <br>&gt;самым тяжким грехом) <br>&gt;Вопрос &#8470;3: Покаким критериям Вы оцениваете надежность и маштабируемость решения, а также <br>&gt;при помощи каких средств решается отказоустойчивость конструкции ? <br>&gt;Вопрос &#8470;4 Есть ли в Вашем "подразделение" помимо Вас специалисты в области <br>&gt;сетевых технологий, а так же системный архитектор ? <br><br>опять Linux.... ну-ну... еще и напильники какие-то в FreeBSD для стандартных средств... Вы уважаемый хоть когда-то FreeBSD в глаза видели? Cisco - не спорю, классное решение... А денег на нее человеку тоже подарите? А https://opennet.ru/openforum/vsluhforumID6/15237.html#15 Sun, 24 Feb 2008 22:41:38 GMT Народ привет есле есть у кого маны и рабочие конфиги кому нежалко поделитесь а то есть некоторые вещи с которыми сутками играюсь .... зарание благодарен всем кто отзовется ))) <br>P.s. Юзаю PF более мение нормально а вот с altq напряги ... помогите плиззз )) <br> https://opennet.ru/openforum/vsluhforumID6/15237.html#14 Thu, 17 Jan 2008 19:38:50 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;непонятка с локалкой осталась.. в логах НЕ ОТОБРАЖАЕТСЯ ни одного deny при <br>&gt;попытке достигнуть ДНС из 192.168.15.1 <br>&gt;при этом, если в браузере написать IP того же ya.ru, он откроется <br>&gt;<br>&gt;но домен-&gt;IP ни-ни<br>&gt;не понятно почему не может достичь ДНС.. каждое правило в ipfw логируется, <br>&gt;а в security нет ни строчки от 15.1, кроме броадкастов по <br>&gt;137-138 портам oO <br>&gt;буду ковырять дальше.. <br><br>Результат ifconfig -a, netstat -rn, ipfw show покажите на обоих роутерах.<br> https://opennet.ru/openforum/vsluhforumID6/15237.html#13 Thu, 17 Jan 2008 19:25:09 GMT не надо там ничё явно указывать<br>во-1, надо было сделать редирект в правилах файрвола GW2: fwd GW1-IP udp from any to any 53 in via внешний_интерфейс<br>во-2, на данном этапе у меня ходят пинги в инет через бинд на GW1<br>мало того, они даже ходят с GW2, у которого в resolv.conf прописан днсом GW1<br><br>непонятка с локалкой осталась.. в логах НЕ ОТОБРАЖАЕТСЯ ни одного deny при попытке достигнуть ДНС из 192.168.15.1<br>при этом, если в браузере написать IP того же ya.ru, он откроется<br>но домен-&gt;IP ни-ни<br>не понятно почему не может достичь ДНС.. каждое правило в ipfw логируется, а в security нет ни строчки от 15.1, кроме броадкастов по 137-138 портам oO<br>буду ковырять дальше..<br> https://opennet.ru/openforum/vsluhforumID6/15237.html#12 Wed, 16 Jan 2008 13:58:13 GMT &gt;&gt;Надо на GW2 натить не только 192.168.20.0/24, но и 192.168.15.0/24 <br>&gt;<br>&gt;там просто прописан нат, который натит всё, что к нему приходит <br><br>Укажите явным образом сети, которые надо натить.<br> https://opennet.ru/openforum/vsluhforumID6/15237.html#11 Wed, 16 Jan 2008 13:39:53 GMT &gt;Надо на GW2 натить не только 192.168.20.0/24, но и 192.168.15.0/24 <br><br>там просто прописан нат, который натит всё, что к нему приходит<br> https://opennet.ru/openforum/vsluhforumID6/15237.html#10 Wed, 16 Jan 2008 12:51:22 GMT &gt;ну схемка простая: <br>&gt;локалка (192.168.15.0/24) -&gt; свитч -&gt; GW1 (192.168.15.99/24 (смотрит в локалку), 192.168.20.99/24 (смотрит на GW2) на GW1 собраны squid, bind планируется mail туда же собирать. короче, локалка имеет доступ к нему, а к инету прямого доступа не имеет) -&gt; GW2 (192.168.20.14/24 + интерфейс с провайдерским IP)<br>&gt;<br>&gt;на GW2 я прописывал route add 192.168.15.0 192.168.20.99 <br><br>route add 192.168.15.0/24 192.168.20.99 <br>так правильнее<br><br>&gt;без него не пингуется ни .15. с GW2, ни GW2 с .15. <br>&gt;<br><br>Надо на GW2 натить не только 192.168.20.0/24, но и 192.168.15.0/24<br><br><br>