Подкрутитьipfw вот так- возможно ли?(+) / Unix-системы

ReSQL.ru

2.0.61

Планшетная версия Контакт Правила FAQ Помощь

Гость

Войти | Профиль | Очистить

Нов. | Гор. | Избр.

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Действия ...

Доб. в избранное
Игнор. тему
Прикреп. тему
Пометить прочит. / непрочит.
Фильтр:
Сообщения автора темы
Сообщение содержит вложения
Сообщение содержит картинки
Сообщение содержит видеоклипы
Сообщение содержит аудиоклипы
Сообщение содержит картинки или видео 18+

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / Подкрутитьipfw вот так- возможно ли?(+) / 6 сообщений из 6, страница 1 из 1

02.04.2008, 21:14:31

#35231279

vkle

Участник

Откуда: Самара
Сообщения: 14 253
Рейтинг: 0 / 0

Подкрутитьipfw вот так- возможно ли?(+)

Доброго времени суток!

Имеется:
Шлюз на FreeBSD 5 с тремя сетевухами (+ NAT, squid, ipfw). На одной локалка, на двух других два провайдера - основной и резервный. У основного траф дешевле и скорость повыше, но, серый IP, у резервного же белый айпи. Редкие переключения на резерв в случае необходимости делается ручками (правятся ДНС прова, дефолтроутер и привязка NAT к интерфейсу).

Хочется:
Поднять на этой машинке вебсервер для мелких нужд, так чтоб можно было обращаться к нему из инета по IP от резервного провайдера.

Из локалки этот вебсервер доступен без проблем, из инета не удается подключиться. Еесли из инета пинговать шлюз по адресу резервного прова, то ответ приходит со стороны основного. Оно и понятно, в /etc/rc.conf прописан дефолтроутер.... Уперся пока в это.

Возможно ли настроить ipfw (или нужно что то другое?) так, чтоб если запрос приходит от сетевухи резервного провайдера, то ответные пакеты отправлялись строго туда же, а не по дефолтному? Подозреваю, что возможно, но пока не соображу, на какие опции следует смотреть внимательно. Если есть пример такого конфига, было б любопытно взглянуть.
Заранее благодарю.
Posted via ActualForum NNTP Server 1.4

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

02.04.2008, 23:53:13

#35231428

Ося

Участник

Сообщения: 2 033
Рейтинг: 0 / 0

Подкрутитьipfw вот так- возможно ли?(+)

0. не путайте раутер с фаэволлом, даже если это один и тот же серый жужжащий ящик
1. см. картинку, направление на провайдера с локальным адресом (ip1) для вас ограничивается набором его локальных сетей (Net1,NetN1-NetNN), тк он делает для вас NAT и весь "интернет" это только его локальный адрес (gw1) на фаэрволле, информацию о локальных сетях (NetN1-NetNN) вашего провайдера можно получить от него статически, либо поднять IGP, направление где вы имеете публичный адрес (ip2) должно быть по умолчанию, направление (ip3) на ваши сети (NetM1-NetMM) аналогично либо статически либо через IGP

отсюда вы получаете три группы правил

от (Net1,NetN1-NetNN) подсетей на адрес ip1
от (Net3,NetM1-NetMM) подсетей на адрес ip3
от всех на адрес ip2

2. конкретные рекомендации по фильтрации веб траффика можно найти в мануале и на сайте разработчиков

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

03.04.2008, 13:37:29

#35232824

beginer.ua

Гость

Подкрутитьipfw вот так- возможно ли?(+)

vkle Если есть пример такого конфига, было б любопытно взглянуть.
Заранее благодарю.

Пример конфига, работает на ура. Такая же ситуация как у тебя, только сижу на Fedore 8.

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
43.
44.
45.
46.
47.
48.
49.
50.

#!/bin/bash
MY_DNS="192.168.10.66"
CHECKPOINT="195.5.46.19"
DS_GATE="10.224.192.1"
DS_DNS1="10.0.0.1"
DS_DNS2="70.120.130.20"

ADSL="192.168.1.100"
ADSL_DNS1="195.5.51.178"
ADSL_DNS2="195.5.51.182"

DNS=""

ping -c  3  $CHECKPOINT >/dev/null
RETVAL=$?

if [ $RETVAL -ne  0  ]; then

 DNS=`cat /etc/resolv.conf | grep $DS_DNS1`

  if [ "$DNS" = "" ]; then
    echo "Ukrtelekom  down :-/"
    echo "Switching to Datasvit"
    echo "...done"
    /sbin/route del -net  0 . 0 . 0 . 0  netmask  0 . 0 . 0 . 0  gw $ADSL
    /sbin/route add -net  195 . 0 . 0 . 0  netmask  255 . 0 . 0 . 0   gw $ADSL
    /sbin/route add -net  0 . 0 . 0 . 0  netmask  0 . 0 . 0 . 0  gw $DS_GATE

    echo "nameserver "$DS_DNS1 >/etc/resolv.conf
    echo "nameserver "$DS_DNS2 >>/etc/resolv.conf
    echo "nameserver "$MY_DNS >>/etc/resolv.conf
  fi

else
  DNS=`cat /etc/resolv.conf | grep $ADSL_DNS1`

  if [ "$DNS" = "" ]; then
    echo "Ukrtelekom up :-)"
    echo "Switching to Ukrtelekom ..."

    /sbin/route del -net  0 . 0 . 0 . 0  netmask  0 . 0 . 0 . 0  gw $DS_GATE
    /sbin/route del -net  195 . 0 . 0 . 0  netmask  255 . 0 . 0 . 0   gw $ADSL
    /sbin/route add -net  0 . 0 . 0 . 0  netmask  0 . 0 . 0 . 0  gw $ADSL

    echo "nameserver "$MY_DNS >/etc/resolv.conf
    echo "nameserver "$ADSL_DNS1 >>/etc/resolv.conf
    echo "nameserver "$ADSL_DNS2 >>/etc/resolv.conf
    echo "... done"
  fi

fi

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

11.04.2008, 17:06:21

#35250530

RAndrew

Участник

Сообщения: 106
Рейтинг: 0 / 0

Подкрутитьipfw вот так- возможно ли?(+)

Вот вы парню заморочили голову. Если задача стоит как "заставить возвращать ответы на пакеты обратно через бэкап провайдера, если они пришли на ип бэкап провайдера", то
ipfw add forward <backup_isp_gateway> all from <backup_isp_local_ip> to any on <primary_isp_iface>

Или я чего-то не понял?

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

14.04.2008, 20:38:24

#35254576

vkle

Участник

Откуда: Самара
Сообщения: 14 253
Рейтинг: 0 / 0

Подкрутитьipfw вот так- возможно ли?(+)

> Или я чего-то не понял?

Все верно понял, именно это и нужно ))
После отпуска - попытаюсь добавить правило.
Posted via ActualForum NNTP Server 1.4

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

04.06.2008, 01:26:54

#35352831

jekka

Гость

Подкрутитьipfw вот так- возможно ли?(+)

И есче ядро собрать с опциями IP_FORWARD и IP_FORWARD_EXTENDED без низ не заработало у меня (вернее без последней)

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=25&mobile=1&tid=1486855]:	0ms
get settings:	8ms
get forum list:	16ms
check forum access:	3ms
check topic access:	3ms
track hit:	41ms
get topic data:	9ms
get forum data:	2ms
get page messages:	37ms
get tp. blocked users:	1ms
others:	188ms

total:	308ms

	Необходимые cookie
	Cookie для сбора статистики
	Cookie для маркетинга и рекламы