Muff's website forum
FreeBSd => Система => Тема начата: tomD от Сентября 26, 2012, 08:39:16 am
-
Помогите, плиз, с настройкой резервного канала.
1. Мне нужно поднять nat на втором внешнем интерфейсе - вот здесь затык. Читаю форумы и вижу только, что советуют запускать два процесса natd.
В rc.conf у меня
natd_enable="YES"
natd_interface="bge1"
natd_flags="-f /etc/natd.conf"
firewall_enable="YES"
firewall_script="/etc/rc.firewall"
firewall_type="simple"
firewall_quiet="NO"
firewall_logging="YES"
firewall_flags=""
В /etc/rc.firewall есть следующее, что касается nat
case ${firewall_type} in
[Oo][Pp][Ee][Nn]|[Cc][Ll][Ii][Ee][Nn][Tt])
case ${natd_enable} in
[Yy][Ee][Ss])
if [ -n "${natd_interface}" ]; then
${fwcmd} add 50 divert natd all from any to any via ${natd_interface}
fi
;;
esac
esac
...
case ${natd_enable} in
[Yy][Ee][Ss])
if [ -n "${natd_interface}" ]; then
${fwcmd} add divert natd all from any to any via ${natd_interface}
fi
;;
esac
Вот, собственно, это и наталкивает на мысль, что можно каким-то образом, когда ляжет один канал, поднимать нат на другом канале переопределяя natd_interface. То есть делать это в том же скрипте, в каком и происходит автоматическое переключение гейтвея. Вот в этом и вопрос, как в скрипте переопределять natd_interface ?
-
Подымите НАТ с помощью PF или IPNAT - они умеют НАТить одновременно на нескольких интерфесах. К тому же более производительны, чем natd.
NAT - реализация с помощью PF - http://muff.kiev.ua/content/nat-realizatsiya-s-pomoshchyu-pf (http://muff.kiev.ua/content/nat-realizatsiya-s-pomoshchyu-pf) (кстати, в этой статье как раз рассмотрен вариант НАТа на двух интерфейсах одновременно.
NAT - реализация с помощью IPNat - http://muff.kiev.ua/content/ipnat-nat-v-neskolko-shagov (http://muff.kiev.ua/content/ipnat-nat-v-neskolko-shagov)
-
Спасибо за ответ.
Мне просто досталась система от другого человека. Я начала править правил ipfw (всё равно нужно правила добавлять для второго резервного канала), добавила второй внешний интерфейс, просто скопировала те правила, которые были для первого внешнего интерфейса - ну, и как бы возникли траблы уже - хотя ничего преступного не сделала, у меня ещё squid на сервере крутится. После внесенных изменений в правила ipfw инет у пользователей пропал.
-
То есть вопрос заключается в том, как на работающем уже сервере сделать резервирование каналов безболезненно, с учетом того, что на нем крутится (ipfw с правилами, squid, dns bind) ? Вот сделаю я нат, а что делать с правилами фаервола ?
-
Это уже нужно отталкиваться от правил файрвола.
Как вариант, для начала в файрволе разрешить все и вся (оставив перенаправление в squid). Запустить НАТ с помощью PF. На этом этапе у пользователей уже будет инет и веб через прокси. Доступ к серверу, соответственно будет открыт полностью. А потом понемногу "допиливать" файрвол, добавляя необходимые правила.