Freebsd es 2 isp

FreeBSD-all

Sziasztok,

Adott egy freebsd (7.0) routerem, arra kapcsolva egy 192.168.0.0/24 belso halozat (rl0), es 2 kulonbozo szolgaltatotol kapott internet (dhcp) (rl1, rl2).
Azt szeretnem megoldani, hogy a halozat meghatarozott gepei az egyiket, a tobbi pedig a masik netet hasznalja. Tehat nem automata rendszert akarok, en szeretnem beallitani ki melyik neten mehet.
IPFW tuzfalat es NAT-ot hasznalok. Eddig csak az alapveto szabalyok vannak rogzitve (lo), es a defaultgateway-en megy mindenki (rl1).

Koszi

  • 1660 megtekintés

( Mico v | 2009. 05. 26., k – 06:52 )

Ha IPFW-t használsz, akkor fwd egyikispgw from egyikháló to any, fwd másikispgw from másikháló to any, legyen előtte szabály az egymás közti forgalomra, ha kell, meg lehet, hogy fwd helyett igazából nat kell, utoljára akkor láttam ipfw-t, amikor még natd volt és külön, ... érted. De pf-el is meg lehet csinálni szerintem.

Ime a tuzfal scriptem:

===
sysctl net.inet.ip.forwarding=1
ipfw flush

/sbin/natd -n rl1
ipfw add 50 divert 8668 ip from 192.168.0.0/24 to any via rl1 out
ipfw add 52 divert 8668 ip from any to me via rl1 in

/sbin/natd -n rl2
ipfw add 60 divert 8669 ip from 192.168.0.0/24 to any via rl2 out
ipfw add 62 divert 8669 ip from any to me via rl2 in

route delete default
route add -net default a.b.c.d # Ez az atjaroja az rl1 fele meno netnek

ipfw add 00500 allow ip from any to any via lo0
ipfw add 00510 deny ip from any to 127.0.0.0/8
ipfw add 00520 deny ip from 127.0.0.0/8 to any
ipfw add 00600 allow udp from any to 255.255.255.255 dst-port 67
ipfw add 01000 skipto 2000 ip from 192.168.0.0/24 to any
ipfw add 01005 skipto 2000 ip from any to 192.168.0.0/24
ipfw add 01900 deny ip from 10.0.0.0/8 to any
ipfw add 01905 deny ip from any to 10.0.0.0/8
ipfw add 01910 deny ip from 172.16.0.0/12 to any
ipfw add 01915 deny ip from any to 172.16.0.0/12
ipfw add 01920 deny ip from 192.168.0.0/16 to any
ipfw add 01925 deny ip from any to 192.168.0.0/16
ipfw add 01930 deny ip from 169.254.0.0/16 to any
ipfw add 01935 deny ip from any to 169.254.0.0/16
ipfw add 01940 deny ip from 224.0.0.0/3 to any
ipfw add 01945 deny ip from any to 224.0.0.0/3
ipfw add 02000 allow tcp from any to me dst-port 22 established keep-state
ipfw add 02005 allow tcp from any to me dst-port 22 setup limit src-addr 10
ipfw add 02800 allow tcp from 192.168.0.0/24 to me dst-port 53 established keep-state
ipfw add 02805 allow tcp from 192.168.0.0/24 to me dst-port 53 setup limit src-addr 10
ipfw add 03000 allow udp from 192.168.0.0/24 to me dst-port 53
ipfw add 03200 allow tcp from 192.168.0.0/24 to me dst-port 80 established keep-state
ipfw add 03205 allow tcp from 192.168.0.0/24 to me dst-port 80 setup limit src-addr 25
ipfw add 08500 deny tcp from any to me setup
ipfw add 08600 allow udp from me to any keep-state
ipfw add 08650 deny log udp from any to me
ipfw add 65000 allow tcp from any to any
ipfw add 65005 allow udp from any to any
ipfw add 65010 allow icmp from any to any
ipfw add 65015 allow gre from any to any
ipfw add 65535 deny ip from any to any
===

Kernelbe az alabbiak beelforditva:
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_FORWARD
options DUMMYNET
options IPDIVERT

( andrej_ v | 2009. 05. 26., k – 06:59 )

Használj inkább pf-et. Egyébként olyan nat szabály kell neked, ami adott gépet adott interfészen natol. A defaultroute-al lehet bajod szóval kell majd próbálgatni.

Sziasztok,

Na végre eljutottam a setfib-ig, beleforditottam a kernelbe, az alap dolgokon mar tul vagyok, tok jo. Lokalisan szepen meg tudom adni hogy melyik program melyik ISP-n menjen ki.

A kerdesem tovabbra is ipfw koru, remelem tudtok segiteni:

Beallitottam az alabbi szabalyokat:

ipfw 50 add divert 8668 all from any to any via rl1 #ISP1 - egyebkent default gw
ipfw 51 add divert 8669 all from any to any via rl2 #ISP2
setfib -1 route add default AZ_ISP2_ATJAROJA
ipfw add 60 setfib 1 tcp from KLIENS1_IP to any

Na most a fent emlitett gepen nincs forgalom (KLIENS1), a routeremen pedig ha nezem merre indulnak a csomagok, szepen megjelenik az ISP2 interfeszen a kimeno a forgalom kifele, de olyan mintha vissza mar nem jonne csomag.

Valamit elrontok? Milyen szabalyokat kellene felvegyek? Natd egyaltalan meg kell?

Koszi