Muff's website forum

Пожалуйста, войдите или зарегистрируйтесь.

Расширенный поиск  

Новости:

SMF - Just Installed!

Автор Тема: Настройка резервного канала  (Прочитано 18164 раз)

tomD

  • Пионер
  • *
  • Karma: 0
  • Оффлайн Оффлайн
  • Сообщений: 8
    • Просмотр профиля
Настройка резервного канала
« : Сентября 26, 2012, 08:39:16 am »

Помогите, плиз, с настройкой резервного канала.

1. Мне нужно поднять nat на втором внешнем интерфейсе - вот здесь затык. Читаю форумы и вижу только, что советуют запускать два процесса natd.

В rc.conf у меня
natd_enable="YES"
natd_interface="bge1"
natd_flags="-f /etc/natd.conf"
firewall_enable="YES"           
firewall_script="/etc/rc.firewall"
firewall_type="simple"           
firewall_quiet="NO"             
firewall_logging="YES"           
firewall_flags=""               

В /etc/rc.firewall есть следующее, что касается nat

case ${firewall_type} in
[Oo][Pp][Ee][Nn]|[Cc][Ll][Ii][Ee][Nn][Tt])
case ${natd_enable} in
[Yy][Ee][Ss])
if [ -n "${natd_interface}" ]; then
${fwcmd} add 50 divert natd all from any to any via ${natd_interface}
fi
;;
esac
esac

...

case ${natd_enable} in
[Yy][Ee][Ss])
if [ -n "${natd_interface}" ]; then
${fwcmd} add divert natd all from any to any via ${natd_interface}
fi
;;
esac

Вот, собственно, это и наталкивает на мысль, что можно каким-то образом, когда ляжет один канал, поднимать нат на другом канале переопределяя natd_interface. То есть делать это в том же скрипте, в каком и происходит автоматическое переключение гейтвея. Вот в этом и вопрос, как в скрипте переопределять natd_interface ?
Записан

muff

  • Administrator
  • Долгожитель
  • ***
  • Karma: 0
  • Оффлайн Оффлайн
  • Сообщений: 283
    • Просмотр профиля
    • IT, Network, Beer!
Re: Настройка резервного канала
« Ответ #1 : Сентября 26, 2012, 11:51:29 am »

Подымите НАТ с помощью PF или IPNAT - они умеют НАТить одновременно на нескольких интерфесах. К тому же более производительны, чем natd.
NAT - реализация с помощью PF - http://muff.kiev.ua/content/nat-realizatsiya-s-pomoshchyu-pf (кстати, в этой статье как раз рассмотрен вариант НАТа на двух интерфейсах одновременно.
NAT - реализация с помощью IPNat - http://muff.kiev.ua/content/ipnat-nat-v-neskolko-shagov
Записан
Если нет ответа, то давайте подумаем...

tomD

  • Пионер
  • *
  • Karma: 0
  • Оффлайн Оффлайн
  • Сообщений: 8
    • Просмотр профиля
Re: Настройка резервного канала
« Ответ #2 : Сентября 26, 2012, 12:49:52 pm »

Спасибо за ответ.

Мне просто досталась система от другого человека. Я начала править правил ipfw (всё равно нужно правила добавлять для второго резервного канала), добавила второй внешний интерфейс, просто скопировала те правила, которые были для первого внешнего интерфейса - ну, и как бы возникли траблы уже - хотя ничего преступного не сделала, у меня ещё squid на сервере крутится. После внесенных изменений в правила ipfw инет у пользователей пропал.
Записан

tomD

  • Пионер
  • *
  • Karma: 0
  • Оффлайн Оффлайн
  • Сообщений: 8
    • Просмотр профиля
Re: Настройка резервного канала
« Ответ #3 : Сентября 26, 2012, 01:08:40 pm »

То есть вопрос заключается в том, как на работающем уже сервере сделать резервирование каналов безболезненно, с учетом того, что на нем крутится (ipfw с правилами, squid, dns bind) ? Вот сделаю я нат, а что делать с правилами фаервола ?
Записан

muff

  • Administrator
  • Долгожитель
  • ***
  • Karma: 0
  • Оффлайн Оффлайн
  • Сообщений: 283
    • Просмотр профиля
    • IT, Network, Beer!
Re: Настройка резервного канала
« Ответ #4 : Сентября 26, 2012, 01:18:38 pm »

Это уже нужно отталкиваться от правил файрвола.
Как вариант, для начала в файрволе разрешить все и вся (оставив перенаправление в squid). Запустить НАТ с помощью PF. На этом этапе у пользователей уже будет инет и веб через прокси. Доступ к серверу, соответственно будет открыт полностью. А потом понемногу "допиливать" файрвол, добавляя необходимые правила.
Записан
Если нет ответа, то давайте подумаем...
 

Страница сгенерирована за 0.298 секунд. Запросов: 28.