|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Mykola Dzham 2:5020/400 28 Nov 2005 11:15:44
To : Dmitrij Lystsov
Subject : Re: ...не могу решить простую задачу!!!
--------------------------------------------------------------------------------
Dmitrij Lystsov wrote:
> >>Есть ОДИH сервер с ДУМЯ сетевухами, сидящий в РАЗHЫХ сетях.
> >>ОБЕ сети имеют выход в инет, но с разными шлюзами:
> >>Для ПЕРВОЙ сети ПЕРВЫЙ шлюз, для ВТОРОЙ сети - ВТОРОЙ шлюз.
> >>Задача разрулить трафик САМОГО СЕРВЕРА исходя из АДРЕСА источника.
> >>Источники - службы на СЕРВАКЕ запущенные под разными адресами.
> >
> >Со входящими запросами всё достаточно просто.
> >ipfw fwd ip-gw1 from ip1 to any
> >Однако насчёт наличия default route - у меня есть сомнения что будет
> >работать без него. Сейчас объясню почему
> >
> >У тебя firewall.
> >fwd gate0 ip from ip0 to any via interface0
> >fwd gate1 ip from ip1 to any via interface1
> >
> >обмен траффиком от www.ru с ip0 и ip1
> >так вот, если у тебя маршрут на www.ru идёт через iface0, то второе
> >правило не сработает, а сработает
> >fwd gate1 ip from ip1 to any via interface0
> Я тут немного поэксперементировал ...
> Если делаю, типа:
> ping -S ip1 www.ru
>
> то незамедлительно получаю:
> ping: sendto: Permission denied
> ping: sendto: Permission denied
> ping: sendto: Permission denied
> ping: sendto: Permission denied
>
> Гляжу в лог, а там:
> Deny ICMP:8.0 ip1 www.ru out via int0
Хорошо бы не заниматься художественной резней по конфигам а показывать
все прописанные у тебя правила.
> А какого хрена, я думаю, запрос лезет от имени ip1 с интерфейса int0 -
> должен то с int1 идти и прямиком на gate1.
> Что за ерунда.
> Так мои правила ни когда не применятся.
> Вот к примеру сейчас для ICMP запросов они такие:
>
> allow log icmp from not net1 to ip1 in via int1 icmptypes 0,3,8,13,14,30
> fwd gate1 log icmp from ip1 to not net1 out via int1
Пока ты пакет не перенаправил на gate1 он пытается уйти через int0 а не
через int1 . Соответственно это твоё правило бессмысленно.
> Подскажите как побороть это безобразие?
Попытаться таки понять как идут пакеты и именно и как именно их надо
перенаправлять.
--
LEFT-(UANIC|RIPE)
JID: levsha@jabber.net.ua
--- ifmail v.2.15dev5.3
* Origin: National Taras Shevchenko University of Kyiv (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
