Главная страница
О проекте Навигация Контакт
Поиск


ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Alexander Fatykhov                   2:5020/400     15 Dec 2005  12:25:48
 To : All
 Subject : Реальная подсеть + PBR + NAT
 -------------------------------------------------------------------------------- 
 
 Привет!
 
 Собственно упарился уже...
 Есть раельная подсеть на 16 адрсево ${real_net} - всё замечательно, решили
 взять резервный канал, но там только 1 рельный IP ${natd_ip} (шлюз
 ${natd_gw})
 
 надо на некоторые адреса, клиентов из реальной подсети пускать через
 резервный канал, ясно дело через нат.
 ну что фря должна быть доступка снаружи по обоим реальным IP (из реальной
 подсети и резервный) - это ясно.
 
 сделал это - не проблема, проблема в том, что у меня получается или - или:
 - или фря доступка снаружи по icmp на резервном ip, а клиент не может
 сделать трейс до ресурса, куда заворачивают на резерв
 - или же у клиента нормально работает трейс, но тогда фря с наружи не
 доступна по icmp...
 
 надо бы что бы и так и так было:
 
 правила
 ------------------------------------------------------------------------------
 ipfw add 1 skipto 50000 all from any to ${natd_ip}
 ipfw add 2 skipto 50000 all from ${natd_ip} to any
 ...
 заворачивем скажем кого то на резервный канал:
 ipfw add 3 skipto 50000 all from {$real_client_ip} to {some host}
 ....
 правила для реальной подсети
 ...
 ipfw add 50000 allow all from any to ${natd_ip} 25,53,80
 ipfw add 50100 deny tcp from not ${real_net} to ${natd_ip} setup
 ipfw add 50200 deny udp from not ${real_net} to ${natd_ip} keep-state
 ipfw add 51000 divert 8668 ip from ${real_net} to not ${real_net},
 ${natd_ip}
 ipfw add 51100 fwd ${natd_gw} ip from ${natd_ip} to not ${real_net}
 ipfw add 51200 divert 8668 ip from not ${real_net} to ${natd_ip}
 ipfw add 52000 allow all from any to any
 ------------------------------------------------------------------------------
 
 при этом варианте клиент нормально может пинговать нужный ресурс и делать
 трейс через резервный канал, однако фря - недоступна снаружи и сама не может
 ничего пингануть...
 
 если же вписать
 
 ------------------------------------------------------------------------------
 ipfw add 50800 allow icmp from any to ${natd_ip}
 ------------------------------------------------------------------------------
 
 то тогда фря пингует и её пингуют, но у клиента проблемы...
 
 умучался уже - помогите, плиз... решение должно быть на поверхности ж...
 -- 
 Отправлено через сервер Форумы@mail.ru - http://talk.mail.ru
 --- ifmail v.2.15dev5.3
  * Origin: Talk.Mail.Ru (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 Реальная подсеть + PBR + NAT   Alexander Fatykhov   15 Dec 2005 12:25:48 
 Re: Реальная подсеть + PBR + NAT   Alexander Fatykhov   15 Dec 2005 17:23:32 
Архивное /ru.unix.bsd/6488dec9e635.html, оценка 3 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional