https://www.opennet.dev/openforum/vsluhforumID3/2747.html Обсуждение статьи тематического каталога: FreeBSD Распределение трафика между двумя каналами (ipfw fwd + NAT) (freebsd ipfw forward nat)<br><br>Ссылка на текст статьи: http://www.opennet.ru/base/net/2_channel_balancing.txt.html<br><br> https://www.opennet.dev/openforum/vsluhforumID3/2747.html#18 Wed, 08 Apr 2009 07:10:39 GMT Здравствуйте!<br>У меня вопрос. А если у меня NAT построен не на natd, а на ipnat (ipf)? Пишу в ipfw правило ipfw add 15 fwd x.x.x.1 all from y.y.y.y/32 to not me in recv xl0 (xl0 - локалка, xl1 - основной канал, xl2 - дополнительный)<br>map xl1 y.y.y.0/24 -&gt; z.z.z.z/32 proxy port ftp ftp/tcp<br>map xl1 y.y.y.0/24 -&gt; z.z.z.z/32 portmap tcp/udp 40000:65000<br>map xl1 y.y.y.0/24 -&gt; z.z.z.z/32<br>map xl2 y.y.y.0/24 -&gt; x.x.x.2/32 proxy port ftp ftp/tcp<br>map xl2 y.y.y.0/24 -&gt; x.x.x.2/32 portmap tcp/udp 40000:65000<br>map xl2 y.y.y.0/24 -&gt; x.x.x.2/32<br>tcpdump показывает, что пакеты форвардятся, но предварительно пройдя через нат и получив IP = z.z.z.z, тот который на основном интерфейсе xl1<br>udp пакеты (traceroute) при этом бегают так как и хотелось бы, а вот tcp :( Как побороть эту проблему?<br> https://www.opennet.dev/openforum/vsluhforumID3/2747.html#17 Fri, 25 Jul 2008 02:54:13 GMT Дополнение: туннель ipsec. <br>Проблема решилась пересборкой ядра с параметром IPSEC_FITERGIF.<br> https://www.opennet.dev/openforum/vsluhforumID3/2747.html#16 Wed, 23 Jul 2008 06:19:17 GMT Здравствуйте! Проблема с natd. На сервере 2 сетевых карты, для локалки и интернета, кроме того есть туннель через gif0. Не могу настроить чтобы трафик заворачивался из туннеля. Мой трафик туда уходит, ответы tcpdump показывает, но они не попадают в divert а исчезают бесследно. <br>Правила ipfw:<br>00010 count log logamount 500 ip from any to any via gif0<br>00100 count ip from any to any in recv dc0<br>00200 count ip from any to any out xmit dc0<br>00300 count tcp from any to me 25 in recv dc0<br>00310 count tcp from any 80,443 to me in recv dc0<br>00410 allow ip from any to any via lo0<br>00510 allow ip from 194.39.131.174 to any<br>00610 allow ip from any to 194.39.131.174<br>00710 allow esp from any to any<br>00810 allow ipencap from any to any<br>00910 allow udp from any to any 500<br>01010 divert 8765 log logamount 500 ip from 192.168.10.203 to 194.117.106.129 out xmit gif0<br>01110 divert 8765 log logamount 500 ip from 194.117.106.129 to any<br><br>4 дня провел за чтением манов и поиском информации в Интернете. Ничего не помогло...<br> https://www.opennet.dev/openforum/vsluhforumID3/2747.html#15 Mon, 21 Apr 2008 10:28:20 GMT Скорей всего проблема не в том что fwd не работает, а в том что tcpdump этого не показывает<br>Сам целый день голову ломал, как починить.<br>Оказалось, что если на локал-хосте смотреть через tcpdump, то можно видеть что траф идет через default интерфейс, или вообще никудой не идет, тогда как fwd отрабатывает нормально и пакеты идут так как настроено.<br>Проверить можно tcpdump-ом на удаленной стороне, или даже банальным выдергиванием кабеля из вторичного интерфейса - пакеты перестанут проходить (хотя раньше проходили и tcpdump показывал что они шли и идут через основной интерфейс)<br>Проверено для 7.0, другие не проверял<br> https://www.opennet.dev/openforum/vsluhforumID3/2747.html#14 Tue, 25 Mar 2008 07:40:20 GMT та же проблема. FreeBSD 7.0 Есть какое нибудь решение-то?<br> https://www.opennet.dev/openforum/vsluhforumID3/2747.html#13 Fri, 23 Nov 2007 15:27:47 GMT здраствуйте, ситуация идентичная, только нат у меня 1 и его весь хочу отправить через альтернативный шлюз. Но как ни старался, все что получается - это все запросы идут через дефолтовый (после ната), а возврат идет через альтернативный. Причем адрес источника - айпишник альтернативного интерфейса(нат отрабатывает красиво). По какойто причине не срабатывает форвард. На альтернативном интерфейсе нет ниодного исходящего пакета. Хелп.<br> https://www.opennet.dev/openforum/vsluhforumID3/2747.html#12 Fri, 26 Oct 2007 07:50:19 GMT у меня в 6.2 настроена маршрутизация между двумя каналами. По одному идёт мир а по другому укр. В теме http://www.opennet.ru/openforum/vsluhforumID1/76913.html есть примеры ipfw и обьяснение как там всё устроено.<br> https://www.opennet.dev/openforum/vsluhforumID3/2747.html#11 Tue, 02 Oct 2007 16:05:44 GMT &gt;Привет.Не могу Нат настроить, для ппп...<br>&gt;Везде читаю для Фри 4.Х, а для 6?<br><br>Была точно такая же задача, но немного другие условия:<br>локалка 192.168.0.1/27, на нее смотрит сетевуха xl0 с адресом 192.168.0.1<br>внешка через VPN 10.10.0.1, не нее смотрит fxp0 с адресом 10.10.12.22<br>прописываем mpd адреса нашей локалки: <br>pptp0:<br> new -i ng0 pptp0 pptp0<br> set ipcp ranges 192.168.0.1/32 192.168.0.21/32<br> load pptp_standart<br> и т.п.<br>далее рулим их из-под ната во внешку, на которую смотрит fxp0:<br><br>/sbin/ipfw add 1 divert natd all from 192.168.0.0/27 to any out via fxp0<br>/sbin/ipfw add 2 divert natd all from any to 10.10.12.22 in via fxp0<br><br>т.е. при входящем подключении через mpd клиент попалает в локалку, а из нее, как все, во внешку. замечания/предложения приветствуются.<br> https://www.opennet.dev/openforum/vsluhforumID3/2747.html#10 Tue, 02 Oct 2007 13:13:57 GMT &gt;IPFIREWALL_FORWARD_EXTENDED при попытке добавить в ядро этой опции отвечает <br>&gt;unknown option "IPFIREWALL_FORWARD_EXTENDED" <br>&gt;FreeBSD 6.2 <br><br>почитай файл NOTES (расположение читай в аннотации к GENERIC)<br><br>