skeletor Опубликовано 30 ноября, 2010 · Жалоба Есть 2 канала. Нужно один IP натить через другой канал. Пробовал прописать так, но ничего не выходит (всё равно ходит через rl0, а нужно что бы через tun0): map rl0 10.9.0.0/24 -> 192.168.1.9/32 proxy port ftp ftp/tcp map rl0 10.9.0.0/24 -> 192.168.1.9/32 portmap tcp/udp 20000:65000 map rl0 from 10.9.0.0/24 ! to 192.168.1.9/32 -> 192.168.1.9/32 map tun0 10.9.0.6/32 -> XX.XX.XX.XX/32 proxy port ftp ftp/tcp map tun0 10.9.0.6/32 -> XX.XX.XX.XX/32 portmap tcp/udp 20000:65000 map tun0 from 10.9.0.6/32 ! to XX.XX.XX.XX/32 -> XX.XX.XX.XX/32 rl0 = 192.168.1.9 tun0 = XX.XX.XX.XX Как реализовать задуманное? OS: FreeBSD 8.1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 30 ноября, 2010 · Жалоба Видимо у вас шлюз по умолчанию в сети к которой привязана реальная сетевуха. Лучше на PF переходите, хотя с фтп там хуже. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
skeletor Опубликовано 30 ноября, 2010 · Жалоба Таки да! А как подобное можно реализовать на pf? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
esotr Опубликовано 30 ноября, 2010 · Жалоба Возможно поможет поменять местами правила. А вообще тут решают уже маршруты. Итак, у вас есть сетка /24, есть хост z.z.z.z. Надо чтобы сетка /24 натилась от айпишника, включенного в маршрутизатор с локальным IP, а один хост натился от IP-адреса VPN-туннеля tun0. шлюз по умолчанию у вас из сети /24 - поэтому в tun0 пакет от хоста z.z.z.z просто не попадет. ЕДИНСТВЕННЫЙ способ заставить его пойти туда - механизм setfib. В этой статье все подробно описано. Неостатки - компиляция ядра, или (как минимум презагрузка), но оно того стоит, поверьте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 1 декабря, 2010 · Жалоба Если у вас задача натить именно один ип из внутренней сети куда то ещё то это одно, а если у вас в начале один канал поднимается, а потом через него другой то это другой случай. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
esotr Опубликовано 1 декабря, 2010 · Жалоба Если у вас задача натить именно один ип из внутренней сети куда то ещё то это одно, а если у вас в начале один канал поднимается, а потом через него другой то это другой случай. в чем принципиальная разница, когда второй канал уже поднят? с точки зрения ната Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
skeletor Опубликовано 1 декабря, 2010 · Жалоба 2Ivan_83 Каналы абсолютно не зависят друг от друга. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 1 декабря, 2010 · Жалоба Если надо обойти default, то только PBR. ipf так не умеет. См. ipfw/pf Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 1 декабря, 2010 · Жалоба По PF видел примеры, в больших инструкциях-учебниках на русском языке, как раскидывали по каналам разным, поищите. Ядро пересобирать не придётся, если его там то модуль автоматом загрузится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...