The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Два провайдера, доступ снаружи по ssh, http, и т.п."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Два провайдера, доступ снаружи по ssh, http, и т.п."  
Сообщение от SergeyKa email(??) on 07-Май-07, 09:20 
Появился второй канал в интернет - пусть будет резервный.

С выходом изнутри разобрался, что такое pbr - знаю.

Вопрос, почему при обращении к серверу по резервному каналу снаружи исходящин пакеты отправляются на основной интерфейс?

Поясняю на примере:

Удалённая консоль ssh делает запрос:

rl0 - основной провайдер
rl1 - резервный провайдер

# ipfw zero
# ipfw show

07100  3  145 allow tcp from any 22 to any via rl0
07200  0    0 allow tcp from any to any dst-port 22 via rl0
07300  0    0 allow tcp from any 22 to any via rl1
07400  3   78 allow tcp from any to any dst-port 22 via rl1

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Два провайдера, доступ снаружи по ssh, http, и т.п."  
Сообщение от SergeyKa email(??) on 07-Май-07, 10:37 
Пока никто не активизировался, попробую сам разбиратся в проблеме.

Пакеты уходят обратно, потому что идут через дефолтовый


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Два провайдера, доступ снаружи по ssh, http, и т.п."  
Сообщение от SergeyKa email(??) on 07-Май-07, 13:49 
Правильно ли я нарыл, что в случае двух и более каналов
от defaulroute нужно отказыватся в сторону fwd?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Два провайдера, доступ снаружи по ssh, http, и т.п."  
Сообщение от SergeyKa email(??) on 07-Май-07, 16:30 
>Правильно ли я нарыл, что в случае двух и более каналов
>от defaulroute нужно отказыватся в сторону fwd?

при отключении defaulroute напрочь перестал работать выход наружу
"нет маршрута до хоста"

пришлось пока включить обратно. разбираюсь

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Два провайдера, доступ снаружи по ssh, http, и т.п."  
Сообщение от SergeyKa email(??) on 12-Май-07, 13:43 
>>Правильно ли я нарыл, что в случае двух и более каналов
>>от defaulroute нужно отказыватся в сторону fwd?
>
>при отключении defaulroute напрочь перестал работать выход наружу
>"нет маршрута до хоста"
>
>пришлось пока включить обратно. разбираюсь


Измучался весь, но для тех кто найдёт по поиску - напишу решение к которому пришёл:

рабочий вариант с помощью pf
#  правила nat для исходящих соединений на каждом внешнем интерфейсе
nat on $ext_if1 from $lan_net to any -> ($ext_if1)
nat on $ext_if2 from $my_ip to any -> ($ext_if2)
#  default pass
pass in  from any to any
pass out from any to any
pass out route-to ($ext_if1 $ext_gw1) from ($ext_if1) to !(self:network) keep state
pass out route-to ($ext_if2 $ext_gw2) from ($ext_if2) to !(self:network) keep state

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Два провайдера, доступ снаружи по ssh, http, и т.п."  
Сообщение от universite email(??) on 12-Май-07, 13:53 

>#  default pass
>pass in  from any to any
>pass out from any to any
>pass out route-to ($ext_if1 $ext_gw1) from ($ext_if1) to !(self:network) keep state
>pass out route-to ($ext_if2 $ext_gw2) from ($ext_if2) to !(self:network) keep state

Правила работают, вы проверили?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Два провайдера, доступ снаружи по ssh, http, и т.п."  
Сообщение от SergeyKa email(??) on 12-Май-07, 14:49 
>
>>#  default pass
>>pass in  from any to any
>>pass out from any to any
>>pass out route-to ($ext_if1 $ext_gw1) from ($ext_if1) to !(self:network) keep state
>>pass out route-to ($ext_if2 $ext_gw2) from ($ext_if2) to !(self:network) keep state
>
>Правила работают, вы проверили?


после того как проверил - сразу написал сюда

теперь прописываю всё на основе запрещающих политик

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Два провайдера, доступ снаружи по ssh, http, и т.п."  
Сообщение от universite email(??) on 12-Май-07, 13:52 
>Правильно ли я нарыл, что в случае двух и более каналов
>от defaulroute нужно отказыватся в сторону fwd?

Нет, схема не работает.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Два провайдера, доступ снаружи по ssh, http, и т.п."  
Сообщение от SergeyKa email(??) on 12-Май-07, 14:54 
>>Правильно ли я нарыл, что в случае двух и более каналов
>>от defaulroute нужно отказыватся в сторону fwd?
>
>Нет, схема не работает.

это я уже понял от ipfw с natd после долгих мучений решил отказатся
потратил 2 дня на изучение pf - http://house.hcn-strela.ru/BSDCert
по этой ссылке ОЧЕНЬ грамотно и для всех БСД систем написано

конфиг за основу взял: http://www.openbsd.ru/files/etc/pf-dual.conf
добавил свою фильтрацию - пока работает
ipfw буду отключать, уж больно pf понравился :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру