ipfw nat шлюз не по умолчанию

Обсуждаем OS FreeBSD и сервисы на ней.

ipfw nat шлюз не по умолчанию

Сообщение buryanov » 09 июн 2009, 14:26

Hi All
Делаю так:
Код: Выделить всё
01800      1072       90048 nat 1 ip from 10.113.1.2 to any
01900       111        6406 nat 1 ip from any to 85.90.215.166 in via vlan12
02000       124       10663 fwd 85.90.215.161 ip from 85.90.215.166 to any out
с машины 10.113.1.2 делаю так:
Код: Выделить всё
[root@mx ~]# ping -S 10.113.1.2 ya.ru
PING ya.ru (93.158.134.8) from 10.113.1.2: 56 data bytes
на интерфейсе который смотрит на 10.113.1.2
Код: Выделить всё
[root@hqgw1 ~]# tcpdump -i vlan14
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vlan14, link-type EN10MB (Ethernet), capture size 96 bytes
23:07:01.181815 IP 10.113.1.2 > ya.ru: ICMP echo request, id 34985, seq 1014, length 64
23:07:02.183528 IP 10.113.1.2 > ya.ru: ICMP echo request, id 34985, seq 1015, length 64
23:07:03.185257 IP 10.113.1.2 > ya.ru: ICMP echo request, id 34985, seq 1016, length 64
на интерфейсе внешнем не по умолчанию
Код: Выделить всё
[root@hqgw1 ~]# tcpdump -i vlan12
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vlan12, link-type EN10MB (Ethernet), capture size 96 bytes
на интерфеёсе по умолчанию
Код: Выделить всё
[root@hqgw1 ~]# tcpdump -n -i ng2 host ya.ru
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ng2, link-type NULL (BSD loopback), capture size 96 bytes
23:10:52.586883 IP 85.90.215.166 > 93.158.134.8: ICMP echo request, id 34985, seq 1245, length 64
23:10:53.588605 IP 85.90.215.166 > 93.158.134.8: ICMP echo request, id 34985, seq 1246, length 64
тоесть, пакеты идут на интерфейс по умолчанию.
Если переставляю строку
Код: Выделить всё
01700       124       10663 fwd 85.90.215.161 ip from 85.90.215.166 to any out
перед натом, то всё равно ничего не меняется
Код: Выделить всё
[root@hqgw1 ~]# netstat -rn
85.90.215.160/27   link#16            UC          0        2 vlan12
85.90.215.161      00:1a:f0:2b:12:6b  UHLW        1      259 vlan12     67

[root@hqgw1 ~]# ping -S 85.90.215.166 ya.ru
PING ya.ru (213.180.204.8) from 85.90.215.166: 56 data bytes
64 bytes from 213.180.204.8: icmp_seq=0 ttl=58 time=36.835 ms
64 bytes from 213.180.204.8: icmp_seq=1 ttl=58 time=35.275 ms
^C

[root@hqgw1 ~]# tcpdump -n -i vlan12
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vlan12, link-type EN10MB (Ethernet), capture size 96 bytes
23:31:58.344249 IP 85.90.215.166 > 93.158.134.8: ICMP echo request, id 38019, seq 0, length 64
23:31:58.380776 IP 93.158.134.8 > 85.90.215.166: ICMP echo reply, id 38019, seq 0, length 64
vlan12 - 85.90.215.166 - isp 2 not default
ng2 - isp 1 default
vlan14 - 10.113.1.2 - lan

я хочу, чтобы всё, что идёт из этой подсети, шло через второго провайдера
Что я делаю не так?
Аватара пользователя
buryanov
новичок
 
Сообщения: 25
Зарегистрирован: 29 апр 2009, 18:32

Re: ipfw nat шлюз не по умолчанию

Сообщение buryanov » 09 июн 2009, 16:09

в логах пишется
Код: Выделить всё
Forward to 85.90.215.161 ICMP:11.0 85.90.215.166 85.90.215.166 out via lo0
туплю, туплю и ещёраз туплю. Где не знаю
Аватара пользователя
buryanov
новичок
 
Сообщения: 25
Зарегистрирован: 29 апр 2009, 18:32

Re: ipfw nat шлюз не по умолчанию

Сообщение root » 09 июн 2009, 20:38

быстрые вопросы:
а м.б. какое то правило выше "перешибает" ? много их там выше ? можешь показать весь вывод ?
какая версия фрюхи ?
почему выбрал этот вариант ната ?

завтра почитаю твой пост предметнее
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: ipfw nat шлюз не по умолчанию

Сообщение root » 11 июн 2009, 14:21

ответы будут ?
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: ipfw nat шлюз не по умолчанию

Сообщение buryanov » 11 июн 2009, 15:21

разобрался я. Сделал так:
Код: Выделить всё
ipfw nat 1 config ip 85.90.215.166
01900 nat 1 ip from 10.113.1.2 to any out
02000 nat 1 ip from any to 85.90.215.166 in via vlan12
02050 fwd 85.90.215.161 ip from 85.90.215.166 to any
02052 fwd 85.90.215.161 ip from 10.113.1.2 to any in via vlan14
перед этим стояли правила, deny и divert, с deny проблем не было, а вот проблема была с правилом
Код: Выделить всё
01200 divert 10007 ip from any to any via ng2
когда я его удалил, всё заработало. В системе исользуется ipacctd для подсчёта статистики, надо на netgraph переезжать потехоньку.
root писал(а):быстрые вопросы:
а м.б. какое то правило выше "перешибает" ? много их там выше ? можешь показать весь вывод ?
какая версия фрюхи ?
почему выбрал этот вариант ната ?
завтра почитаю твой пост предметнее
проблема решилась, спасибо за беспокойство
Код: Выделить всё
[code][root@hqgw1 ~]# uname -a
FreeBSD hqgw1.hq.telesens.lan 7.2-STABLE FreeBSD 7.2-STABLE #1: Wed May 27 15:08:40 EEST 2009 i386
почему этот нат, natd тормозной и грузит проц, хоть канал небольшой но и шлюз не особо быстрый, pf - както не подружился с ним изначально, ng_nat, ipnat - непробовал
Аватара пользователя
buryanov
новичок
 
Сообщения: 25
Зарегистрирован: 29 апр 2009, 18:32


Вернуться в FreeBSD

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 9