FreeBSd > Система
Настройка резервного канала
(1/1)
tomD:
Помогите, плиз, с настройкой резервного канала.
1. Мне нужно поднять nat на втором внешнем интерфейсе - вот здесь затык. Читаю форумы и вижу только, что советуют запускать два процесса natd.
В rc.conf у меня
--- Код: ---natd_enable="YES"
natd_interface="bge1"
natd_flags="-f /etc/natd.conf"
firewall_enable="YES"
firewall_script="/etc/rc.firewall"
firewall_type="simple"
firewall_quiet="NO"
firewall_logging="YES"
firewall_flags=""
--- Конец кода ---
В /etc/rc.firewall есть следующее, что касается nat
--- Код: ---case ${firewall_type} in
[Oo][Pp][Ee][Nn]|[Cc][Ll][Ii][Ee][Nn][Tt])
case ${natd_enable} in
[Yy][Ee][Ss])
if [ -n "${natd_interface}" ]; then
${fwcmd} add 50 divert natd all from any to any via ${natd_interface}
fi
;;
esac
esac
...
case ${natd_enable} in
[Yy][Ee][Ss])
if [ -n "${natd_interface}" ]; then
${fwcmd} add divert natd all from any to any via ${natd_interface}
fi
;;
esac
--- Конец кода ---
Вот, собственно, это и наталкивает на мысль, что можно каким-то образом, когда ляжет один канал, поднимать нат на другом канале переопределяя natd_interface. То есть делать это в том же скрипте, в каком и происходит автоматическое переключение гейтвея. Вот в этом и вопрос, как в скрипте переопределять natd_interface ?
muff:
Подымите НАТ с помощью PF или IPNAT - они умеют НАТить одновременно на нескольких интерфесах. К тому же более производительны, чем natd.
NAT - реализация с помощью PF - http://muff.kiev.ua/content/nat-realizatsiya-s-pomoshchyu-pf (кстати, в этой статье как раз рассмотрен вариант НАТа на двух интерфейсах одновременно.
NAT - реализация с помощью IPNat - http://muff.kiev.ua/content/ipnat-nat-v-neskolko-shagov
tomD:
Спасибо за ответ.
Мне просто досталась система от другого человека. Я начала править правил ipfw (всё равно нужно правила добавлять для второго резервного канала), добавила второй внешний интерфейс, просто скопировала те правила, которые были для первого внешнего интерфейса - ну, и как бы возникли траблы уже - хотя ничего преступного не сделала, у меня ещё squid на сервере крутится. После внесенных изменений в правила ipfw инет у пользователей пропал.
tomD:
То есть вопрос заключается в том, как на работающем уже сервере сделать резервирование каналов безболезненно, с учетом того, что на нем крутится (ipfw с правилами, squid, dns bind) ? Вот сделаю я нат, а что делать с правилами фаервола ?
muff:
Это уже нужно отталкиваться от правил файрвола.
Как вариант, для начала в файрволе разрешить все и вся (оставив перенаправление в squid). Запустить НАТ с помощью PF. На этом этапе у пользователей уже будет инет и веб через прокси. Доступ к серверу, соответственно будет открыт полностью. А потом понемногу "допиливать" файрвол, добавляя необходимые правила.
Навигация
Перейти к полной версии