2 wan interfész

 ( subset | 2007. december 5., szerda - 20:48 )

Hi !

2 wan interfész-t érdemes egy szerveren behegeszteni vagy jobb megoldás valami olcsóbb célhardvert vásárolni ?
Úgy gondolom a szerveres megoldásnál csak tűzfalszabályokkal tudnék mahinálni milyen szolgáltatás melyik kártyán jöjjön ki-be.
Célhardver pár 10ezerért vásárolható, azok hogyan oldják meg ezt a kérdést, hogyan működnek ?
Létezik valami progi ami segít a szerveres megoldásban , milyen lehetőségek vannak ?

Thx

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Ha szerveren/pc-n akarsz dual wan-os routert/firewallt akkor a www.pfsense.org egy igen jó választás lehet. Ez FreeBSD/pf alapú, de van linux alapokon is egy tonna hasonló firewall app.

Amúgy meg az olcsóbb célhardverek egy részén is linux van, és iptables + policy routing + a körítés .

Üdv
Godot

Sajnos külön router/firewall szerverre egyenlőre nincs lehetőségünk, a jelenleg futó debian mellett (más szolgáltatások is futnak rajta).
Marad a "tonna linuxos fw app" ,pontosabban mikre gondoltál ???
- xer321 -
a shorewall-t javasolja - ezzel még nem foglalkoztam, de valóban megvalósítható vele a dolog
Jelenleg iptables-t hasznalunk amivel el is boldogulok....iproute2+iptables is megoldás lehet ??!

Shorewall nálunk tökéletesen megy

Eddig minden feladatot iptables segítségével oldottam meg, sajna a shorewall-t nem ismerem de talán itt az ideje....
Egy kicsit nehéz lesz egy működő szerveren kisérleteznem :(
....itthon meg nincs 2 wan interfészem :)

//interfaces
loc eth0 192.168.1.255
net ppp0 detect routefilter,tcpflags,nosmurfs
net ppp1 detect routefilter,tcpflags,nosmurfs

//masq
ppp0 eth0
ppp1 eth0
ppp0 $ip2 $ip1
ppp1 $ip1 $ip2

$ip1 és $ip2 az a ip címed amit kapsz a szolgáltatótól

ha nem tudod a címeket vagy dhcp akkor
//params
EXT_IP1=$(/sbin/ifconfig ppp0 | grep inet | grep -v 127.0.0.1 | awk '{ print $2 }
EXT_IP2=$(/sbin/ifconfig ppp1 | grep inet | grep -v 127.0.0.1 | awk '{ print $2 }

//policy
$FW all ACCEPT
loc $FW ACCEPT
loc net ACCEPT
net all DROP
#net all ACCEPT
all all REJECT
net net DROP

//providers
ISP1 1 1 main ppp0 detect balance,track eth0
ISP2 2 2 main ppp1 detect balance,track eth0

//rules
ACCEPT loc:192.168.1.0/24 $FW all - - -

//tcclasses
ppp0 10 1kbit full 1 tcp-ack,tos-minimize-delay
ppp0 20 1kbit full 2 default
ppp1 30 1kbit full 1 default
ppp1 40 1kbit full 2 tcp-ack,tos-minimize-delay

//tcdevices
ppp0 4000kbit 256kbit
ppp1 8000kbit 512kbit

//tcrules
#mail
1:P 192.168.1.0/0 0.0.0.0/0 tcp smtp
1:P 192.168.1.0/0 0.0.0.0/0 tcp - smtp
RESTORE 0.0.0.0/0 0.0.0.0/0 all - - - 0
CONTINUE 0.0.0.0/0 0.0.0.0/0 all - - - !0
SAVE 0.0.0.0/0 0.0.0.0/0 all - - - !0

//zones
loc ipv4
net ipv4

Kb ennyi, de viszont kézzel kell fordítani egy kernelt amiben benne van az ip_conntrack mindkét irányba különben sikítani fog a shorewall (iptables).

A priority rész működik, hogy az email a ppp0 menjen, de sajnos a traffic rész az nem megy nálam és nem tudom miért. Valaki tudna segíteni ebben az megköszönném. A többi része az jó.

Müxik ami nem sikerült!!!

//tcrules
#mail
1:120:P 192.168.1.0/0 0.0.0.0/0 tcp smtp
1:120:P 192.168.1.0/0 0.0.0.0/0 tcp - smtp