forum.opennet.ru - "multihomed сеть. доступ извне к внутренним сервисам по обоим..." (2)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"multihomed сеть. доступ извне к внутренним сервисам по обоим..."

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"multihomed сеть. доступ извне к внутренним сервисам по обоим..."
Сообщение от Mangust2 (ok) on 09-Мрт-08, 16:27
добрый день, уважаемый Опеннет! имею затруднения с реализацией маршрутизации. Маршрутизатор FreeBSD. два провайдера A и B. мои внешние IP_A IP_B. Роутеры провайдеров GW_A и GW_B. default gateway на провайдера A. Имеется приватная машина за роутером. адрес C. использую ipfilter для мапинга наружу приватной сети и редиректа внутрь для машины C на внешних интерфейсах. Использую ipfw forwarding для того что бы если я подключаюсь к роутеру (по ssh напрример) на IP_B, то и ответы бы уходили на GW_B. Ну и что бы если машина вдруг шлёт с IP_B, то шлёт через GW_B. Проблема теперь такая. Если я подключаюсь извне на IP_B на порт который редирекнут на машину C, то адрес получателя меняется в заголовке с IP_B на C и отправляется куда следует. Но вот ответ, который идёт обратно, согласно default gateway уходит на интерфейс A там его не знают, а если и знают, то провайдер вместе с машиной отправителем не понимают его. Есть возможность сделать сервис доступным с обоих адресов средствами IPFW, IPFILTER, PACKET FILTER? или надо проксировать? что то вроде inetd + nc? :( Спасибо
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

multihomed сеть. доступ извне к внутренним сервисам по обоим..., universite, 03:00 , 11-Мрт-08, (1)

multihomed сеть. доступ извне к внутренним сервисам по обоим..., Mangust2, 12:33 , 15-Мрт-08, (2)

Сообщения по теме [Сортировка по времени | RSS]

1. "multihomed сеть. доступ извне к внутренним сервисам по обоим..."

Сообщение от universite (ok) on 11-Мрт-08, 03:00

>Но вот ответ, который
>идёт обратно, согласно default gateway уходит на интерфейс A там его
>не знают, а если и знают, то провайдер вместе с машиной
>отправителем не понимают его.
Известный баг.
Якобы можно с помощью pf исправить...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "multihomed сеть. доступ извне к внутренним сервисам по обоим..."

Сообщение от Mangust2 (ok) on 15-Мрт-08, 12:33

Да, действительно. Вот как закрутил:
^^^ выше наты идут и редиректы ^^^
#
# SOURCE ROUTING (ROUTE POLICY, enforcing symetric traffic)
#
# some tagging if we need it goes here
#pass in on $ext_if1 all tag $ext_if1 keep state
#pass in on $ext_if2 all tag $ext_if2 keep state
# source routing for our external IPs of router
# route replies. both services on router and behind him after rdr rules
pass in on $ext_if1 reply-to ($ext_if1 $ext_gw1) all keep state
pass in on $ext_if2 reply-to ($ext_if2 $ext_gw2) all keep state
# route new connections, originated from our external IPs
pass out on $ext_if1 route-to ($ext_if2 $ext_gw2) from $ext_if2 to any keep state
pass out on $ext_if2 route-to ($ext_if1 $ext_gw1) from $ext_if1 to any keep state

Первые строки созадают кип стейты для входящих запросов. Последние 2 ве корректируют "нетуда" пошедшие, заблудившиеся, блудящие пакеты ;)
Последних двух строк недостаточно, так как даже если не писать keep state правила оказываются в таблице с keep state. ибо route-to? ответы на приходящие запросы идут обратно, они уже установленные соединения и новых записей не создают. Кажется так. С 4 мя строками всё работает. Единственно если я ниже напишу конструкцию block all + pass some addresses может быть это отменит предидущие строки? не пробовал, хотя должно работать. ибо keep state.
Забил на ipfilter отныне. IPFW не люблю. Ибо сетевой демон на роутере natd смотрится для меня диковато. Писали умные люди, но я как то не могу что бы какой то демон сетевой вертелся на моём роутере.
>
>>Но вот ответ, который
>>идёт обратно, согласно default gateway уходит на интерфейс A там его
>>не знают, а если и знают, то провайдер вместе с машиной
>>отправителем не понимают его.
>
>Известный баг.
>Якобы можно с помощью pf исправить...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "multihomed сеть. доступ извне к внутренним сервисам по обоим..."
Сообщение от universite (ok) on 11-Мрт-08, 03:00
>Но вот ответ, который >идёт обратно, согласно default gateway уходит на интерфейс A там его >не знают, а если и знают, то провайдер вместе с машиной >отправителем не понимают его. Известный баг. Якобы можно с помощью pf исправить...
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "multihomed сеть. доступ извне к внутренним сервисам по обоим..."
	Сообщение от Mangust2 (ok) on 15-Мрт-08, 12:33
	Да, действительно. Вот как закрутил: ^^^ выше наты идут и редиректы ^^^ # # SOURCE ROUTING (ROUTE POLICY, enforcing symetric traffic) # # some tagging if we need it goes here #pass in on $ext_if1 all tag $ext_if1 keep state #pass in on $ext_if2 all tag $ext_if2 keep state # source routing for our external IPs of router # route replies. both services on router and behind him after rdr rules pass in on $ext_if1 reply-to ($ext_if1 $ext_gw1) all keep state pass in on $ext_if2 reply-to ($ext_if2 $ext_gw2) all keep state # route new connections, originated from our external IPs pass out on $ext_if1 route-to ($ext_if2 $ext_gw2) from $ext_if2 to any keep state pass out on $ext_if2 route-to ($ext_if1 $ext_gw1) from $ext_if1 to any keep state Первые строки созадают кип стейты для входящих запросов. Последние 2 ве корректируют "нетуда" пошедшие, заблудившиеся, блудящие пакеты ;) Последних двух строк недостаточно, так как даже если не писать keep state правила оказываются в таблице с keep state. ибо route-to? ответы на приходящие запросы идут обратно, они уже установленные соединения и новых записей не создают. Кажется так. С 4 мя строками всё работает. Единственно если я ниже напишу конструкцию block all + pass some addresses может быть это отменит предидущие строки? не пробовал, хотя должно работать. ибо keep state. Забил на ipfilter отныне. IPFW не люблю. Ибо сетевой демон на роутере natd смотрится для меня диковато. Писали умные люди, но я как то не могу что бы какой то демон сетевой вертелся на моём роутере. > >>Но вот ответ, который >>идёт обратно, согласно default gateway уходит на интерфейс A там его >>не знают, а если и знают, то провайдер вместе с машиной >>отправителем не понимают его. > >Известный баг. >Якобы можно с помощью pf исправить...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]