ipnat i 3 gateway'a? est' kakije libo ideji?

[Hugle]

Dobrij den.
POsle dolgogo posika natknulsia na etot forum, i kakby tak zdes' anrod "zhivoj" shto ochen raduet estestvenno.

Prichina pochemu ja pishu na etot forum, sosstoit v tom, shto :
U meani est' 3 kanala v internet :
x.x.x.162 gw > x.x.x.161 (gw1)
x.x.x.142 gw > x.x.x.141 (gw2)
y.y.y.59 gw > y.y.y.1 (gw3)

default x.x.x.161

ipnat rules vygliadiat tak:
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 53 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6111 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6112 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6113 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6114 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6115 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6116 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6117 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6118 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6119 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 4000 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 7777 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 7787 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 7877 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 7887 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6668 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 27005 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 27015 -> x.x.x.142/32 portmap tcpudp auto
map vlan0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 27960 -> x.x.x.142/32 portmap tcpudp auto

map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 22 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 25 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 79 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 81 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 110 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 443 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 2082 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 5050 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 5190 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 1863 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 ! to 192.168.0.0/16 port = 6667 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 to 213.226.139.46 port = 7000 -> x.x.x.162/32 portmap tcp auto
map fxp0 from 192.168.0.0/16 to 212.122.68.216 -> x.x.x.162/32 portmap tcp auto

map rl1 from 192.168.0.0/16 ! to 192.168.0.0/16 -> y.y.y.59/32

Shto ja pytajus' zdelat', eto :
opredelionnyje porty pustit' cherez gw1, igry > gw2, i vsio ostolnoje (musor i p2p) > gw3.

Problema sostoit v tom, shto raboatet tolko pravilo s ip x.x.x.162. skorej vsego izza togo, shto est' pravilo default route. A packety idushije na gw2 i gw3 sistema neznaet kuda "brosat'"
Sejchias vopros takoj: kak zdelat' tak, shtoby traffik kotoryj idiot na x.x.x.142 shol by na gw> x.x.x.141 i traffic na y.y.y.59 shol by na gw y.y.y.1 ?
proboval igratsa s ipfw:
ipfw add 501 fwd x.x.x.142 ip from x.x.x.142 to any
ipfw add 502 fwd x.x.x.161 ip from x.x.x.162 to any
ipfw add 503 fwd y.y.y.1 ip from y.y.y.59 to any

no bez-rezultato. Na skolko ja ponial ipfw-forward rabotaet PERED ipnat'om, t.e. eto i ne dolzhno rabotat'

OS. FreeBSD 4.9

Est' kakije libo ideji?
S uvazhenijem, Jarek

[Wizard]

С фрёй не знаком но слышал
а про фаер вот что вычитал маненько http://www.opennet.ru/docs/RUS/iptables/
так вот там как раз указано что нат то работает до форварда
т.е. для транзитных пакетов PREROUTING - FORWARD - POSTROUTING.
или во фрее по другому? там вообще чтонить похожее на iptables в Линухе есть или там ipchains + patch для ната?

А на счёт нескольких провайдеров на 1 гейте и как разруливать трафик с локалки на них есть только предположения т.к. реально настраивал только для двух и всё статически а не динамически.
Идея состоит в том что надо просто дописать маршруты.
К примеру было 2 провайдера - 1 для всего трафика 2 для HTTP(халявный трафик), 1 являлся default gw
так вот как это было побеждено(подгонка под ответ)
прописал своему HTTP прокси ходит через прокси провайдера
и в route написал что при обрашение к ИП прокси провайдера ходить через такойто интерфейс но это частный случай.

Ага писал ответ, а вопрос читал не внимательно
Есть 3 гейта т.е. 3 машины или всё на одной?

[art]

про ipnat ничего не скажу, никогда его не использовал.
на ipfw - вполне работает.
У тебя три разных интрефейса наружу, или просто алиасы?

[Hugle]

est' 3 gateway'a i vse na odnoj mashine
odin gw x.x.x.161 IP > x.x.x.162 (alias na fxp0)
gw2 x.x.x.141 IP x.x..x.142 (vlan0)
i gw3 y.y.y.1 IP > y.y.y.59 (rl1)

U meani eto vsio rabotalo na ipfw + natd
no problema v tom, shto oidentd nedruzhit s natd a IDENT mne ochen aktualen. i voobshe govoriat shto ipant lutshe s natom rabotaet, dla menia dazhe ego config proshche vygliadit (t.e. ipnat).. No kak eto zastavit' rabotat' ispolzuja 3 interface'a - eshio neznaju

ps. ja dazhe route prodoval propisyvat'
route add default x.x.x.161
route add -host x.x.x.142 x.x.x.141
route add -host x.x.x.59 x.x.x.1

mozhet stoit subnety ddobavit'?
route add -host x.x.x.142/255.255.255.252 x.x.x.141
ili shtoto vrode?;]
Podelites' idejami esli est'

Spasibo, Jarek

[art]

no problema v tom, shto oidentd nedruzhit s natd

не понял.
Пиши, plz, английские термины болшими буквами по английски.
{ IPNAT IPFW}

В догонку, не понял поначалу.
Тебе нужен ident, но он не работает через nat сессию, так что ли?

[art]

пока не всё ясно, но из общих соображений следует,
что лучше использовать NAT+IPFW это более стабильная связка.
IPNAT вообще застрял и, IMHO, не будет развиваться.

Так что, по-моему, лучше выбрать "правильное" низкоуровневое решение (NAT+IPFW) и разбираться с высокоуровневым - IDENT

[Hugle]

da, NATD kotoryj rabotajet s pomoshiu ipfw nerabotaet. zapusakesh oidentd (usr/ports/security/oidentd) no on ne "identit" userov iz seti, esli tot-zhe nat vkliuchit' cherez ipnat, to vsio rabotaet.

IPF+IPNAT shitajutsa na mnogo lutshe chem IPFW+NATD. naprimer NATD rabotaet v user itnerface, i snachenyje packy idut iz seti > natd > kernel i obratno iz kernelia v natd i k useru.
t.e. v IPNAT performance shitaetsa lutshe chem NATD

A shto kasaetsa IDENT demon'a ja ninashol niodnogo rabotajushego ident'a dla freebsd kotoryj by rabotal (krome oidentd).

Poskolku teper pojavilas vozmoshnost' (mozhet dazhe potrebnost') perejti na ipnat, to eto moj shans. TOlko vot pokashto bezuspeshno..

Spasibo za udelionnoje vremia,
Jarek

[art]

Ну, тут ничего не попишешь:
# more /usr/ports/security/oidentd/pkg-descr
FreeBSD, OpenBSD and Solaris. oidentd can handle IP masqueraded/NAT connections
on Linux, FreeBSD (ipf only) and OpenBSD. oidentd has a flexible

Но я еще не встречал задач, на которых NATD упореблял бы заметные ресурсы. Если не сложно - отпиши, какие у тебя были нагрузки.

[Hugle]

Ну, тут ничего не попишешь:
# more /usr/ports/security/oidentd/pkg-descr
FreeBSD, OpenBSD and Solaris. oidentd can handle IP masqueraded/NAT connections
on Linux, FreeBSD (ipf only) and OpenBSD. oidentd has a flexible

Но я еще не встречал задач, на которых NATD упореблял бы заметные ресурсы. Если не сложно - отпиши, какие у тебя были нагрузки.

To, kak rabotal NATD mne ne meshalo- eto fakt. vsia problema prakticehski v oidentd'e, tak kak IDENT nuzhen mne
a nagruzka ~500 userov...

Jarek