BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 13 ] 
Автор Сообщение
СообщениеДобавлено: Сб 18 ноя, 2006 1:54 pm 
Не в сети

Зарегистрирован: Чт 09 мар, 2006 3:54 pm
Сообщения: 12
Здраствуйте всем...
Прошу прощения, что я снова подымаю эту избитую тему.
Имеется два соединения к Интернету.
Необходимо, чтобы ответы на пакеты tcp/udp/icmp,приходящие с первого интернет-провайдера, уходили через GW первого провайдера и, чтобы ответы на пакеты tcp/udp/icmp, приходящие со второго провайдера, уходили через GW второго провайдера.

Не могу понять, читал много статей, но с синтакисом PF начал работать недавно, поэтому немного сложно понять, как люди делают это с помощью route-to и reply-to.

Помогите пожалуйста. Выложите простой конфиг, что я должен написать в pf.conf.
Для простоты не нужны никакие редиректы внутрь сети и будем предполагать, что все пакеты должны пропускаться\приниматься.

Заранее спасибо.
Тимур.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс 19 ноя, 2006 2:09 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Сб 19 авг, 2006 5:24 pm
Сообщения: 707
Откуда: Харьков
у меня на 6.1 route-to не пашет :(


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс 19 ноя, 2006 2:22 pm 
Не в сети
Newsmaker
Аватара пользователя

Зарегистрирован: Пт 05 мар, 2004 9:34 am
Сообщения: 754
Откуда: Новосибирск
http://www.openbsd.ru/files/etc/pf-dual.conf


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс 19 ноя, 2006 8:53 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Сб 19 авг, 2006 5:24 pm
Сообщения: 707
Откуда: Харьков
на OpenBSD оно и пашет, а на Free - болт


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 20 ноя, 2006 8:09 am 
Не в сети

Зарегистрирован: Чт 09 мар, 2006 3:54 pm
Сообщения: 12
if1="rl0"
if2="ed0"
gw1="195.158.18.9"
gw2="217.29.120.241"

pass in all
pass out all

pass out route-to ($if1 $gw1) from ($if1) to !(self:network) keep state
pass out route-to ($if2 $gw2) from ($if2) to !(self:network) keep state

pass in on $if1 reply-to ($if1 $gw1) proto tcp flags S/SA tagged IF1 keep state
pass in on $if2 reply-to ($if2 $gw2) proto tcp flags S/SA tagged IF2 keep state

сделал такую схему.....с пингами все нормально работает...пакеты icmp уходят туда куда надо......но tcp сессии и udp пакеты упорно лезут в default gateway....


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 21 ноя, 2006 3:51 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 23 янв, 2004 1:07 pm
Сообщения: 581
Откуда: Yaroslavl
Iggy Rain писал(а):
на OpenBSD оно и пашет, а на Free - болт

Ну вот не надо так однозначно... :twisted:

Например, у меня соединены два офиса через gif-ы по схеме из handbook.
Беру просто убиваю статический путь маршрута, во вторую сеть.
Пишу правила.
Код:
.... skip ....
pass in quick log on $int_if route-to ($vpn_if 192.168.2.1) inet proto tcp\
from $int_if:network to 192.168.2.4 port rdp flags S/SA keep state
pass out quick log on $vpn_if route-to ($vpn_if 192.168.2.1) inet proto tcp\
from $int_if:network to 192.168.2.4 port rdp flags S/SA keep state
.... skip .....

И почему-то работает.
Я что-то делаю не правильно, наверно ? :)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 23 ноя, 2006 8:53 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Сб 19 авг, 2006 5:24 pm
Сообщения: 707
Откуда: Харьков
uname -r в студию и если можно pf.conf :)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт 24 ноя, 2006 11:13 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 23 янв, 2004 1:07 pm
Сообщения: 581
Откуда: Yaroslavl
6.2-PRERELEASE от 20 ноября.
но сам PF давно уж не менялся,
Код:
# head -n 1 /usr/src/sys/contrib/pf/net/pf.c
/*      $FreeBSD: src/sys/contrib/pf/net/pf.c,v 1.34.2.4 2006/09/19 15:45:20 csjp Exp $ */

судя webcvs изменения последние исправления с route-to были в 2005г.

_________________
Я одну мечту скрывая нежу
Что я сердцем чист
Но и я кого нибудь зарежу
Под осенний свист


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 27 ноя, 2006 7:32 am 
Не в сети

Зарегистрирован: Вт 29 мар, 2005 12:37 am
Сообщения: 130
а на ipfw такое можно сделать?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 27 ноя, 2006 11:15 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 23 янв, 2004 1:07 pm
Сообщения: 581
Откуда: Yaroslavl
Возможно всё, что можно представить! :)

_________________
Я одну мечту скрывая нежу
Что я сердцем чист
Но и я кого нибудь зарежу
Под осенний свист


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 27 ноя, 2006 11:56 am 
Не в сети
Аватара пользователя

Зарегистрирован: Сб 19 авг, 2006 5:24 pm
Сообщения: 707
Откуда: Харьков
%head -n 1 /usr/src/sys/contrib/pf/net/pf.c
/* $FreeBSD: src/sys/contrib/pf/net/pf.c,v 1.34.2.3 2005/12/30 00:50:18 mla
ier Exp $ */

%uname -r
6.1-RELEASE-p10

насколько давно ? :-)

таки что-то уже меняли. Лано, подожду выхода 6.2


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 27 ноя, 2006 1:06 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 23 янв, 2004 1:07 pm
Сообщения: 581
Откуда: Yaroslavl
Меняли, но там больше подготовка к mandatory access control.
Чуть-чуть reply-to коснулось.
http://www.freebsd.org/cgi/cvsweb.cgi/s ... ev1.34.2.4
Да как-то же люди и на 5.3 работают, судя по форумам.

_________________
Я одну мечту скрывая нежу
Что я сердцем чист
Но и я кого нибудь зарежу
Под осенний свист


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: решение для FreeBSD 6
СообщениеДобавлено: Пт 16 фев, 2007 9:23 pm 
Не в сети

Зарегистрирован: Пт 16 фев, 2007 9:01 pm
Сообщения: 1
убил день чтобы настроить примерно то же самое на своей
фрюшке 6.1
Очень хочу чтобы если у кого встанет такая задачка сделали это быстрее.
К правилам тимура нужно добавить

pass out on $if1 route-to ($if2 $gw2) from $if2 to any
pass out on $if2 route-to ($if1 $gw1) from $if1 to any

Эти правила выглядят тавталогичными - типа и так уже отправили пакетики, но оказалось (tcpdump не даст соврать) что без них пакетики выходят через интерфейс прописанный в путях для адреса назначения, причем с не прописанном на этом интерфейсе ip(!)

Кроме того насколько я понимаю правила
pass out route-to ($if1 $gw1) from ($if1) to !(self:network) keep state
pass out route-to ($if2 $gw2) from ($if2) to !(self:network) keep state
нужны только если по умолчанию блокируем весь исходящий, в нашем случае их не нужно


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 13 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], Google [Bot], Majestic-12 [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика