ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Alexander Fatykhov                   2:5020/400     26 Jan 2006  17:54:23
 To : All
 Subject : и снова PBR
 -------------------------------------------------------------------------------- 
 

 Hello, All!
 
 собствено вопрос, как возможно ли _полноценно_ использовать втрой канал при 
 pbr?
 имеем:
 freebsd 5.4
 ipfw
 rl0 - реальная подсеть a.b.c.160/28, ип карте a.b.c.162, шлюз подсети 
 a.b.c.161
 rl1 - смотрит в локалку
 rl2 - другой канал, ип 2.2.2.2/32, шлюз 1.1.1.1
 
 rl0 и rl1 объеденены в мост (net.link.ether.bridge.config: rl0,rl1)
 
 шлюз по умолчанию - a.b.c.161
 
 соответвенно по работе адреса реальной подсети - у меня нет, есть 
 вопросы-проблемы исключительно со вторым реальным ip...
 а именно, правила ipfw такие:
 
 100 skipto 10000 all from any to 2.2.2.2 in via rl2
 200 skipto 10000 all from 2.2.2.2 to any
 ...
 правила для a.b.c.160/28
 ...
 10000 allow udp from any to me 53 via rl2
 10100 allow tcp from any to me 25,53,80 via rl2
 10200 allow tcp from <some home> to me 20,21,22 via rl2
 10300 deny log tcp from any to me setup via rl2 keep-state
 10400 deny log udp from any to me via rl2 keep-state
 10500 divert 8668 ip from a.b.c.160/28 to not 2.2.2.2,a.b.c.160/28
 10600 fwd 1.1.1.1 ip from me to not a.b.c.160/28
 10700 divert 8668 ip from not a.b.c.160/28 to 2.2.2.2
 10800 allow ip from any to a.b.c.160/28 in via rl2
 10900 allow icmp from any to any via rl2
 11000 allow ip from any to a.b.c.160/28 out via rl0
 
 нат напущен так:
 /sbin/natd -f /etc/natd.conf
 
 в /etc/natd.conf:
 log_denied
 use_sockets
 same_ports
 log_ipfw_denied
 port natd
 interface rl2
 pid_file /var/run/natd.pid
 redirect_port tcp a.b.c.170:1234 1234
 
 при таком расладе прекрасно 2.2.2.2 отвечает на внешние запросы на 
 22,25,53,80 порты, также на пинги и трейс - всё чики-пуки.
 однако, проблемы начинаются, когда я хочу какой ип из a.b.c.160/28 куда то, 
 например:
 
 ipfw add 50 skipto 1000 tcp from a.b.c.170 to 9.9.9.9 setup keep-state
 
 после этого клиент a.b.c.170 начинает прекрано ходить в мир через второй 
 канал, прикидываясь наружу как 2.2.2.2
 однако идилия заканчивается когда он хочет по фтп сходить... тут же получаю 
 проблемы с 20 портом!
 и в логи падает:
 ipfw: 10300 Deny TCP 9.9.9.9:20 2.2.2.2:4499 in via rl2
 
 соответвенная проблека и если <some home> подключается снаружи в 2.2.2.2 на 
 21 порт - тоже не пашет... про пассивный режим молчу...
 
 и последняя проблема - это redirect_port в natd...
 пакет то редиректится, только ответ уходит по _дефолтовому_ маршруту!!! 
 собственно лажа получается...
 
 собственно я где то чего то недоделал или переделал?
 или нереально сделать что я хочу?
 
 прописывать статик маршруты - плохо, потому что могут быть запросы с другой 
 стороны на втрутрениие адреса  и опять ответ уйдёт через второй канал, когда 
 запрос пришёл из первого... 
 -- 
 Отправлено через сервер Форумы@mail.ru - http://talk.mail.ru
 --- ifmail v.2.15dev5.3
  * Origin: Talk.Mail.Ru (2:5020/400)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

Тема:    Автор:    Дата:    и снова PBR   Alexander Fatykhov   26 Jan 2006 17:54:23   и снова PBR   Andrey Ostanovsky   26 Jan 2006 21:58:24   Re: и снова PBR   Alexander Fatykhov   27 Jan 2006 11:40:39