FreeBSd > Система

Настройка резервного канала

(1/1)

tomD:
Помогите, плиз, с настройкой резервного канала.

1. Мне нужно поднять nat на втором внешнем интерфейсе - вот здесь затык. Читаю форумы и вижу только, что советуют запускать два процесса natd.

В rc.conf у меня

--- Код: ---natd_enable="YES"
natd_interface="bge1"
natd_flags="-f /etc/natd.conf"
firewall_enable="YES"           
firewall_script="/etc/rc.firewall"
firewall_type="simple"           
firewall_quiet="NO"             
firewall_logging="YES"           
firewall_flags=""               

--- Конец кода ---

В /etc/rc.firewall есть следующее, что касается nat


--- Код: ---case ${firewall_type} in
[Oo][Pp][Ee][Nn]|[Cc][Ll][Ii][Ee][Nn][Tt])
case ${natd_enable} in
[Yy][Ee][Ss])
if [ -n "${natd_interface}" ]; then
${fwcmd} add 50 divert natd all from any to any via ${natd_interface}
fi
;;
esac
esac

...

case ${natd_enable} in
[Yy][Ee][Ss])
if [ -n "${natd_interface}" ]; then
${fwcmd} add divert natd all from any to any via ${natd_interface}
fi
;;
esac
--- Конец кода ---

Вот, собственно, это и наталкивает на мысль, что можно каким-то образом, когда ляжет один канал, поднимать нат на другом канале переопределяя natd_interface. То есть делать это в том же скрипте, в каком и происходит автоматическое переключение гейтвея. Вот в этом и вопрос, как в скрипте переопределять natd_interface ?

muff:
Подымите НАТ с помощью PF или IPNAT - они умеют НАТить одновременно на нескольких интерфесах. К тому же более производительны, чем natd.
NAT - реализация с помощью PF - http://muff.kiev.ua/content/nat-realizatsiya-s-pomoshchyu-pf (кстати, в этой статье как раз рассмотрен вариант НАТа на двух интерфейсах одновременно.
NAT - реализация с помощью IPNat - http://muff.kiev.ua/content/ipnat-nat-v-neskolko-shagov

tomD:
Спасибо за ответ.

Мне просто досталась система от другого человека. Я начала править правил ipfw (всё равно нужно правила добавлять для второго резервного канала), добавила второй внешний интерфейс, просто скопировала те правила, которые были для первого внешнего интерфейса - ну, и как бы возникли траблы уже - хотя ничего преступного не сделала, у меня ещё squid на сервере крутится. После внесенных изменений в правила ipfw инет у пользователей пропал.

tomD:
То есть вопрос заключается в том, как на работающем уже сервере сделать резервирование каналов безболезненно, с учетом того, что на нем крутится (ipfw с правилами, squid, dns bind) ? Вот сделаю я нат, а что делать с правилами фаервола ?

muff:
Это уже нужно отталкиваться от правил файрвола.
Как вариант, для начала в файрволе разрешить все и вся (оставив перенаправление в squid). Запустить НАТ с помощью PF. На этом этапе у пользователей уже будет инет и веб через прокси. Доступ к серверу, соответственно будет открыт полностью. А потом понемногу "допиливать" файрвол, добавляя необходимые правила.

Навигация

[0] Главная страница сообщений