https://www.opennet.ru/openforum/vsluhforumID10/4655.html ifconfig <br>Локалка<br>re0: inet 192.168.10.254 netmask 0xffffff00 broadcast 192.168.10.255<br><br>1-провайдер (какой-то местный провайдер)<br>re1: inet "DHCP"<br><br>2-провайдер (yota-street)<br>re2: inet "DHCP"<br><br>3-провайдер (Адсл)<br>re3: inet 210.20.10.35 netmask 0xfffffff8 broadcast 217.27.139.39<br><br>Фаерволл стоит "PF"<br><br>Посоветуйте, как грамотнее сделать маршрутизацию или какие написать правила в фаерволле. <br>Если требуется такая схема:<br><br>1-провайдер &#8212; сидит вся подсеть 192.168.10.0/24<br>2-провайдер &#8212; сидит только 192.168.10.230 - 192.168.10.240<br>3-провайдер &#8212; сидит только 192.168.10.2 - 192.168.10.8<br> https://www.opennet.ru/openforum/vsluhforumID10/4655.html#19 Wed, 01 Sep 2010 08:01:04 GMT попробовал убрать из rc.conf всю загрузку PF<br>и в ручную<br>pfctl -f /etc/pf.conf.new<br>pfctl -e <br>и опять fatal trap 12<br> https://www.opennet.ru/openforum/vsluhforumID10/4655.html#18 Sun, 29 Aug 2010 13:14:12 GMT Проблемы продолжаются, только уже с самой операционной системой - )<br><br>дело было так:<br>1 сутки -- <br> все нормально, дальше я настраивал Yota которая работает по dhcp<br> после получения адресов через dhclient, на третий раз появилась ошибка<br><br><br> Fatal trap 12: page fault while in kernel node cpuid * 1; apic id = 61<br><br> http://imglink.ru/show-image.php?id=7f99b9de8bb5333ccfb5256e43f8d0be<br><br> полетела файловая система, пару раз в синг юзере fsck -y и проблема ушла<br><br>2 сутки<br> <br> прошла неделя без проблем.<br> далее опять Fatal trap 12<br><br><br><br>И теперь если грузиться с новым конфигом, то все номально. <br>Если применить новый конфиг pfctl -f или же через rc.conf или rc.local<br><br>сразу фатал трап вылетает.<br>Поменял сетевые карты, проблема осталась.<br><br><br>FreeBSD server.local 8.0-RELEASE-p2 FreeBSD 8.0-RELEASE-p2 #1: Wed Mar 17 18:43:23 MSK 2010 root@server.local:/usr/obj/usr/src/sys/GATE i386<br><br>rc.conf<br><br># LAN<br>ifconfig_re0="in https://www.opennet.ru/openforum/vsluhforumID10/4655.html#17 Thu, 12 Aug 2010 12:20:48 GMT см http://download.bsdmag.org/en/BSD_04_2010.pdf<br>FreeBSD Firewall with Transparent Proxy Server, DHCP Server and Name Server<br><br># Redirect all www traffic to squid proxy server<br>rdr on $int inet proto tcp from $lan to any port $www -&gt; $gw port 3128<br><br> https://www.opennet.ru/openforum/vsluhforumID10/4655.html#16 Thu, 12 Aug 2010 08:55:41 GMT а могу я оставить в том виде в котором сейчас у меня работает PF, т.к. он полностью решил мою проблему с натом.<br><br>У меня только не решен вопрос с 80 портом, может можно заставить по такой же аналогии работать сквид, что бы он группы пользователей направлял через определенный шлюз<br> https://www.opennet.ru/openforum/vsluhforumID10/4655.html#15 Thu, 12 Aug 2010 06:12:14 GMT 2. Если вы хотите чтобы все запросы которые идут от разных клиентов <br>&gt;к прокси, шли каждый через свой шлюз, то это ИМХО значительно <br>&gt;усложняет задачу и вам нужно смотреть <br>&gt;&gt;9. Если нужно рулить трафиком ИНИЦИИРОВАННЫЙ САМИМ СЕРВЕРОМ, то делается это немного по <br>&gt;&gt;другому. см http://www.opennet.ru/openforum/vsluhforumID10/4433.html#6<br>&gt;<br>&gt;как мне кажется уто уже лишнее, трафик от сервера будет идти в <br>&gt;шлюз по умолчанию. <br><br>спасибо.<br>А разве нельзя заставить просто фильтровать трафик? <br>но не управлять им<br><br><br>Может вообще отказать от сквида. <br>У меня задача, все запросы которые идут на http, https блокировать к социальным сетям и другим сайтам, а так же есть группа пользователей которая может ходить на эти сайты.<br><br>И торренты их блокировать красиво для разных пользователей, а отдельной группе дать доступ.<br><br>А сквид, у меня только по именам сайтов это все блочит.<br><br><br>Вот если бы задача стояла бы просто заблокировать, я бы перенаправил трафик и проблема была бы решена.<br> https://www.opennet.ru/openforum/vsluhforumID10/4655.html#14 Wed, 11 Aug 2010 17:25:29 GMT 1. вам же писал я<br>&gt;замените <br>&gt;pass out route-to ($ext_if_a $ext_gw_a) inet from ($ext_if_a) <br>&gt;на <br>&gt;pass in on $int_if route-to ($ext_if_a $ext_gw_a) inet from (ТРАФИК ИЗ СЕТИ<br><br>стало<br>pass in on $int_if route-to ($ext_if_a $ext_gw_a) proto tcp from &lt;int_a&gt; to any flags S/SA keep state<br><br>2. Если вы хотите чтобы все запросы которые идут от разных клиентов к прокси, шли каждый через свой шлюз, то это ИМХО значительно усложняет задачу и вам нужно смотреть<br>&gt;9. Если нужно рулить трафиком ИНИЦИИРОВАННЫЙ САМИМ СЕРВЕРОМ, то делается это немного по <br>&gt;другому. см http://www.opennet.ru/openforum/vsluhforumID10/4433.html#6<br><br>как мне кажется уто уже лишнее, трафик от сервера будет идти в шлюз по умолчанию.<br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID10/4655.html#13 Wed, 11 Aug 2010 16:58:23 GMT решил добавить как написанно в мануалах<br><br>acl subnet1 src 192.168.10.230/255.255.255.240<br>acl subnet2 stc 192.168.10.52/255.255.255.240<br>tcp_outgoing_address 192.168.1.1 subnet1<br>tcp_outgoing_address 10.133.251.1 subnet2<br><br><br>не пашет, лог пишет<br><br><br>Aug 11 20:54:57 squid: Bungled squid.conf line 16: acl subnet2 stc 192.168.10.52<br><br> https://www.opennet.ru/openforum/vsluhforumID10/4655.html#12 Wed, 11 Aug 2010 15:32:24 GMT Всем огромное спасибо. Мне очень помог Кирилл_Н (ok) on 11-Авг-10, 15:37 ,<br>Конфигарация стала следующая, Но проблема осталась только в SQUID, как его заставить работать на 3-х шлюзах, что бы ограничивал трафик на 3 шлюзах.<br><br><br>set skip on lo<br># Scrub<br>scrub in <br><br>table &lt;int_a&gt; persist file "/etc/pf/int_a.conf"<br>table &lt;int_b&gt; persist file "/etc/pf/int_b.conf"<br>table &lt;int_c&gt; persist file "/etc/pf/int_c.conf"<br><br># nat<br>nat on $ext_if_a inet from !(self) -&gt; ($ext_if_a:0)<br>nat on $ext_if_b inet from !(self) -&gt; ($ext_if_b:0)<br>nat on $ext_if_c inet from !(self) -&gt; ($ext_if_c:0)<br><br>#rdr pass on $int_if proto tcp from $int_if:network to any port 80 -&gt; ($int_if) port 3128<br><br>#block in all<br>#block out all<br><br><br>pass in on $int_if route-to ($ext_if_a $ext_gw_a) proto tcp from &lt;int_a&gt; to any flags S/SA keep state<br>pass in on $int_if route-to ($ext_if_a $ext_gw_a) proto { udp, icmp } from &lt;int_a&gt; to any keep state<br><br>pass in on $int_if route-to ($ext_if_b $ext_gw_b) proto tcp from &lt;int_b&gt; to any flags S/SA keep state<br>p https://www.opennet.ru/openforum/vsluhforumID10/4655.html#11 Wed, 11 Aug 2010 14:18:26 GMT 1. Уберите все правила, и начните отлаживать с внутреннего интерфейса.<br><br>2. Для отладки используйте tcpdump -i &lt;re0, pflog0 и т.д.&gt;<br>в правилах добавляйте по очереди логирование<br>pass in log quick on $int from any to any keep state<br><br>3. Не пишите сразу много правил, начните с минимально необходимых.<br><br>4. не забывайте что маршрутизировать нужно приходящий трафик на внутреннем интерфейсе плюс нужно разрешить входящий/исходящий трафик на выпускающих интерфейсах. Иначе трафик завернутый на выпускающий интерфейс не выйдет из него.<br><br>5. После изменений правил не забывайте делать команду<br>pfctl -F nat -f /etc/pf.conf<br>pfctl -F rules -f /etc/pf.conf<br><br>6. Не зацикливайтесь на этой праблеме, сходите на пляж, отвлекитесь на недельку, дайте время себе осознать принцип работы правил в PF.<br><br>7. Почитайте http://www.openbsd.org/faq/pf/ru/pools.html Load Balance Outgoing Traffic<br><br>8. Скачайте с сайта http://house.hcn-strela.ru/BSDCert/ Учебный курс, там есть большой раздел посвященный pf.<br><br>9. Если нужно рулить тра