2 adsl 1 szolgáltató pf+altq

Fórumok

2 adsl 1 szolgáltató pf+altq

Hozzászólások

Hali!

Következő feladatot kaptam:

Van két adsl (ua a szolgáltató mindkettő 3072/384) és használnia kéne az irodának.
Az lenne a cél hogy a win server elé berakok egy *bsd-t ami semmi mást nem csinál mint tárcsázza, load balance-olja a két adsl-t illetve megoldja a "feltöltés megöli a letöltés" gondot pf-el. Minden mást a win-es ISA-nak kell megoldani, minden port oda forwardolva, minden egyéb tűzfalszabályt neki kell csinálnia (tudom, tudom dehát ez van nem csak én adminisztrálom :( ).

adsl---bsd-192.168.2.0/24--win-192.168.1.0/24-lan

A bsd natol egyet az tuti (minden a 192.168.2.0/24-re) utánna natoljon a windows még1-et vagy legyen inkább route (192.168.2.0/24ről a 192.168.1.0/24-re)?

Illetve bepaste-zom a ruleset-et még nem próbáltam kérdés az hogy yó lehet-é?:

ext_if1 = "lnc0"
ext_if2 = "lnc1"
int_if = "lnc3"
lan_net = "192.168.2.0/24"

#ö a wines szerver
gizike = "192.168.2.2"

#ezt nem tudom minek kéne lennie ha az adsl-t én tárcsázom akkor az iw-es gateway-t kell megadnom ami jelen esetben a két adsl-nél ua? nem?
ext_gw1 = "195.70.32.10"
ext_gw2 = "195.70.32.10"

scrub in all

#natolás
nat on $ext_if1 from $lan_net to any -> ($ext_if1)
nat on $ext_if2 from $lan_net to any -> ($ext_if2)

#load balance
pass in on $int_if route-to \
{ ($ext_if1 $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \
proto tcp from $lan_net to any flags S/SA modulate state

pass in on $int_if route-to \
{ ($ext_if1 $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \
proto { udp, icmp } from $lan_net to any keep state

#ez akarna lenni az összes port átirányítás
rdr on $ext_if1 proto tcp from any to any port 1:65535 -> $gizike port 1:65535
rdr on $ext_if2 proto tcp from any to any port 1:65535 -> $gizike port 1:65535

#antispoof
antispoof for $ext_if1
antispoof for $ext_if2
antispoof for $int_if

#letöltés megöli feltöltés gond javítás
altq on $ext_if1 priq bandwidth 350Kb queue { q_pri, q_def }
queue q_pri priority 7
queue q_def priority 1 priq(default)

pass out on $ext_if1 proto tcp from $ext_if1 to any flags S/SA \
keep state queue (q_def, q_pri)

pass in on $ext_if1 proto tcp from any to $ext_if1 flags S/SA \
keep state queue (q_def, q_pri)

altq on $ext_if2 priq bandwidth 350Kb queue { q_pri, q_def }
queue q_pri priority 7
queue q_def priority 1 priq(default)

pass out on $ext_if2 proto tcp from $ext_if2 to any flags S/SA \
keep state queue (q_def, q_pri)

pass in on $ext_if2 proto tcp from any to $ext_if2 flags S/SA \
keep state queue (q_def, q_pri)

#loopback if mindenhova
pass in quick on lo0 from any to lo0
pass out quick on lo0 from any to lo0

#kifelé bármit amit az isa kienged
pass out on $ext_if1 proto { tcp, udp, icmp } all keep state
pass out on $ext_if2 proto { tcp, udp, icmp } all keep state

#befelé minden win server felé
pass in on $ext_if1 from any to $gizike keep state
pass in on $ext_if2 from any to $gizike keep state

Lehetőség lenne ezenkívül arra még, hogy van két draytek adsl router, lehetne az hogy azok tárcsáznak majd összekötöm öket a bsdvel és utánna tovább ua min eddig. De ebben az esetbe az adsl-routerek natolnak egyet utánna gondolom a bsd-nek és win-nek is route-olni kellene de akkor meg hogy lenne a load balance?

Szerintetek meik lenne a megfelelő topológia

Előre is köszi zeller

[quote:09cdbda682="transglob"] "feltöltés megöli a letöltés" gondot pf-el.

erre onmagaban 1 adsl kapcsolat eseten is van lehetoseg

http://www.benzedrine.cx/ackpri.html

[quote:773a76fda7="drastik"][quote:773a76fda7="transglob"] "feltöltés megöli a letöltés" gondot pf-el.

erre onmagaban 1 adsl kapcsolat eseten is van lehetoseg

http://www.benzedrine.cx/ackpri.html

Tudom innen vettem énis (lsd.:ruleset)! :D

zeller

Bennem csak az a kérdés vetődik fel, hogy ha a bsd load balance-t használ, attól még a másik oldal (forrás ill. cél) két IP címről érkező infót fog látni és fogalma sem lesz, hogyan kezelje. Ezt mindenképpen a szolgáltatónak is támogatnia kéne a belő oldalon, hogy egy forrás(cél)címről látszódjon a kezdeményezett kapcsolat.

[quote:9bd2445718="kaltsi"]Bennem csak az a kérdés vetődik fel, hogy ha a bsd load balance-t használ, attól még a másik oldal (forrás ill. cél) két IP címről érkező infót fog látni és fogalma sem lesz, hogyan kezelje. Ezt mindenképpen a szolgáltatónak is támogatnia kéne a belő oldalon, hogy egy forrás(cél)címről látszódjon a kezdeményezett kapcsolat.

Nemhiszem, hogy ezzel a szolgáltatónak vagy a vevő oldalnak törődnie kéne.

A ruleset-em annyira yó, hogy senkinek sincs hozzáfűzni valója?? :D

[quote:c7287c69c8="kaltsi"]Bennem csak az a kérdés vetődik fel, hogy ha a bsd load balance-t használ, attól még a másik oldal (forrás ill. cél) két IP címről érkező infót fog látni és fogalma sem lesz, hogyan kezelje. Ezt mindenképpen a szolgáltatónak is támogatnia kéne a belő oldalon, hogy egy forrás(cél)címről látszódjon a kezdeményezett kapcsolat.

mivelhogy konneksonokett rdr-el a ket interface kozott statefull ruleval ezert nincs ezzel para

szerintem!

hogy milyen firewallokat szeretek?

openbsd pf, openbsd pf, openbsd pf