https://www.opennet.ru/openforum/vsluhforumID1/90928.html Доброго всем времени суток!<br>Сразу прошу, не посылайте в хендбук, его уже пролистал, так же, не предлагайте сменить работы или нанять админа... Если я обратился сюда, то я этого не знаю но хочу узнать, а не нанимать кого бы то нибыло...<br> <br>Вообщем суть проблемы.<br>имеем:<br>Сервер 1 - Gate<br>Сервер 2 - Host<br>Локальная сеть - Lan<br>Провайдер 1 - ISP1<br>Провайдер 2 - ISP2<br>Gate выполняет функцию шлюза, у него 2 сетевые карты, одна на провайдера, вторая в локалку. Имеет "белый" IP.<br>Host выполняет функцию веб-сервера и почтового сетвера. У него так же 2 сетевые, одна в эту же локалку а одна на второго провайдера и тоже с "белым" IP.<br>Gate и Host соединены между собой локальной сетью.<br>На Host стоит в качестве Defaultrouter, шлюз провайдера.<br>Host отвечает на все запросы на "белый" IP, всё как бы нормально, но канал узковат, посему мне нужно, чтобы он отвечал на запросы, которые приходят на 80-й порт Gate.<br>Я по средствам PF пробросил порт 80 на Gate. tcpdump-ом смотрю, запросы приходят на Host всё норм, но обратно не https://www.opennet.ru/openforum/vsluhforumID1/90928.html#34 Tue, 15 Feb 2011 11:52:20 GMT &gt;[оверквотинг удален]<br>&gt; =) Потому что в файрволл локальный пакет попадает уже после принятия решения <br>&gt; о маршрутизации. Если пакет транзитный, то маркировка делается на входе, потом <br>&gt; применяется выбранная FIB, а уже потом пакет идет на выход. Повторюсь, <br>&gt; локальный пакет маркируется после выбора FIB. Если почитаете интернет на эту <br>&gt; тему, то там были идеи типа введения правила ipfw reroute :-) <br>&gt; Вот потому и считаю, что не работает :-) Хотя пакет попадает под <br>&gt; правило. :-) <br>&gt; Это я про как минимум 8ку говорю... За процессом разработки / изменений <br>&gt; в FreeBSD слежу изредка, если мои данные устарели - я буду <br>&gt; рад это узнать.<br><br>ну тогда 'ipfw fwd' Вам в помощь, после этого правила система плюет на таблицу маршрутизации и отправляет пакет туда, куда ей сказали, ну если конечно шлюз указанный в правиле доступен на одном из интерфейсов.<br><br>хотя я конечно огорчен, что FIB в ipfw не работает на 100%, сам еще не пользовался, но в будущем планировал.<br> https://www.opennet.ru/openforum/vsluhforumID1/90928.html#33 Tue, 15 Feb 2011 04:29:31 GMT &gt;&gt;&gt;&gt; да-да-да. правильный ход мысли. Таким путем точно можно достичь искомого.<br>&gt;&gt;&gt; Слишком сложно.<br>&gt;&gt;&gt; При двух белых IP от разных провов можно обойтись обычными ipfw fwd.<br>&gt;&gt;&gt; У setfib есть побочные моменты - нет поддержки ipv6 и странные <br>&gt;&gt;&gt; путаницы default gateway.<br>&gt;&gt;&gt; Пока юзаю 2хBGP-канала + обычный линк с NAT для офисных хомячков.<br>&gt;&gt; Для локального трафика ipfw setfib всеравно не работает :-( <br>&gt;&gt; //А в линуксе iproute + connmark есть .... эххх ) <br>&gt; Почему Вы уверены, что не работает? может пакет просто не попадает в <br>&gt; Ваше правило?<br><br>=) Потому что в файрволл локальный пакет попадает уже после принятия решения о маршрутизации. Если пакет транзитный, то маркировка делается на входе, потом применяется выбранная FIB, а уже потом пакет идет на выход. Повторюсь, локальный пакет маркируется после выбора FIB. Если почитаете интернет на эту тему, то там были идеи типа введения правила ipfw reroute :-) <br><br>Вот потому и считаю, что не работает :-) Хотя пакет попадает под правило. :-)<br>Это я про как мин https://www.opennet.ru/openforum/vsluhforumID1/90928.html#32 Tue, 15 Feb 2011 04:16:31 GMT &gt;&gt;&gt; да-да-да. правильный ход мысли. Таким путем точно можно достичь искомого.<br>&gt;&gt; Слишком сложно.<br>&gt;&gt; При двух белых IP от разных провов можно обойтись обычными ipfw fwd.<br>&gt;&gt; У setfib есть побочные моменты - нет поддержки ipv6 и странные <br>&gt;&gt; путаницы default gateway.<br>&gt;&gt; Пока юзаю 2хBGP-канала + обычный линк с NAT для офисных хомячков.<br>&gt; Для локального трафика ipfw setfib всеравно не работает :-( <br>&gt; //А в линуксе iproute + connmark есть .... эххх ) <br><br>Почему Вы уверены, что не работает? может пакет просто не попадает в Ваше правило?<br> https://www.opennet.ru/openforum/vsluhforumID1/90928.html#31 Tue, 15 Feb 2011 02:56:53 GMT &gt;&gt; //А в линуксе iproute + connmark есть .... эххх ) <br>&gt; Хватит тут агитаторов Линукс.<br>&gt; Идите на форумы виндузятников и там проводите агитацию :) <br><br>интересно, а в винде возникают вопросы - "виндовс и два провайдера, общий доступ к сети" ?<br>Или там как обычно - два провайдера - два сервера?<br> https://www.opennet.ru/openforum/vsluhforumID1/90928.html#30 Tue, 15 Feb 2011 02:30:11 GMT <br>&gt; //А в линуксе iproute + connmark есть .... эххх ) <br><br>Хватит тут агитаторов Линукс.<br>Идите на форумы виндузятников и там проводите агитацию :)<br> https://www.opennet.ru/openforum/vsluhforumID1/90928.html#29 Mon, 14 Feb 2011 05:43:27 GMT &gt;&gt; да-да-да. правильный ход мысли. Таким путем точно можно достичь искомого.<br>&gt; Слишком сложно.<br>&gt; При двух белых IP от разных провов можно обойтись обычными ipfw fwd. <br>&gt; У setfib есть побочные моменты - нет поддержки ipv6 и странные <br>&gt; путаницы default gateway.<br>&gt; Пока юзаю 2хBGP-канала + обычный линк с NAT для офисных хомячков.<br><br>Для локального трафика ipfw setfib всеравно не работает :-(<br>//А в линуксе iproute + connmark есть .... эххх )<br> https://www.opennet.ru/openforum/vsluhforumID1/90928.html#28 Sun, 13 Feb 2011 19:08:01 GMT &gt; да-да-да. правильный ход мысли. Таким путем точно можно достичь искомого.<br><br>Слишком сложно. <br>При двух белых IP от разных провов можно обойтись обычными ipfw fwd.<br>У setfib есть побочные моменты - нет поддержки ipv6 и странные путаницы default gateway.<br>Пока юзаю 2хBGP-канала + обычный линк с NAT для офисных хомячков.<br> https://www.opennet.ru/openforum/vsluhforumID1/90928.html#27 Sat, 12 Feb 2011 21:02:05 GMT И (условно) третий вариант решения, подсказанный сегодня одним умным товарищем. Как уже проверил уважаемый sm00th1980 - multiple routing tables у нас (FreeBSD) - работает ;) ;) ;)<br>Так вот - обеспечить ОДНОВРЕМЕННУЮ работу в любом из вариантов - что в моей задаче. что в задаче ТС - вполне реально, скрестив multiple routing tables и дополнительные сетевые алиасы на серверах. <br><br>Приведу пример решения для своей задачи, ТС я думаю вполне сможет адаптировать его "под себя". Что имеем, и как стоит задача - я уже писал в предыдущем посте ... Решение - на шлюзе поднимаем две таблицы маршрутизации одна обрабатывает нашу основную (реальную) подсеть серверов и шлюзом по умолчанию для нее выступает провайдер-1, вторая - обрабатывает подсеть из наших "дополнительных" алиасов, и шлюзом по умолчнию для нее выступает провайдер-2. Соответственно на шлюзе настраиваем и два nat-а. В таком варианте - откуда бы не пришел пакет на внутренний сервер - отправлен он будет именно в тот аплинк, из которого был получен запрос... <br> https://www.opennet.ru/openforum/vsluhforumID1/90928.html#26 Sat, 12 Feb 2011 12:17:11 GMT &gt;[оверквотинг удален]<br>&gt; команда: <br>&gt; setfib 0 route add default 192.168.0.1 #default в первой таблице <br>&gt; setfib 1 route add default 192.168.1.1 #default во второй таблице <br>&gt; 4) правим ipfw <br>&gt; ipfw add 100 setfib 1 all from any to 192.168.1.2 in recv <br>&gt; em1 #устанавливаем для пакетов пришедших с интерфейса em1 таблицу роутинга = <br>&gt; 1. В итоге ответный пакет будет уходить по default=192.168.1.1 - что <br>&gt; нам и нужно.<br>&gt; ipfw add 200 pass all from any to any #разрешаем всё <br>&gt; вроде всё.<br><br>да-да-да. правильный ход мысли. Таким путем точно можно достичь искомого.<br>