» Общие вопросы по FreeBSD

Цитата:

Настройки соединения для klient 1
ip. 192.168.0.2
mask 255.255.255.248
gate 192.168.0.6

фишка в том, что здесь прописан другой шлюз - 192.168.0.3 - шлюз у провайдера, чтобы можно было зайти со стороны провайдера, понятное дело имея айпи не из сети 192.168.0.0/29

по приведённой тобой схеме, используя шлюзы, у klient 1 ip. 192.168.0.2 был бы "виден" айпи klient 2 ip. 10.0.0.3, правильно?
но раз такая ситуция с шлюзом... то я подумал о НАТе - подмена адресов.
т.е. когда klient 2 ip. 10.0.0.3 будет запрашивать klient 1 ip. 192.168.0.2 у klient 1 ip. 192.168.0.2 должен быть "виден" айпи сервера 192.168.0.6

т.е. та же ситуация как локалка "ходит" в инет - все клиенты с локальными айпи в инете сидят с одного инет-апйпи сервака.

вот.

Каллеги, вопрос жизни и смерти....
Ставил фрю 4-й системой на свободный примари раздел, вобщем все как обычно...
Далее, выдергиваем хард с иде-канала, цепляемся по юсб (ч\з переходник), грузим бзду, все в норме. (*Здесь, леший попутал, зайти фдиском в визард-моде и произвести некие шаманские действия) После очередного "цепляния", биос напрочь отказывается опознавать хард как загрузочный юзб-девайс! Хотя с иде-канала грузят все системы, потерь данных нет.
Вопрос: возможно ли визардом "аппаратно" загадить девайс, к примеру, микрокод контролера или некую служебную информацию, после чего все "программные" методы уже не помогут?
Заранее б-рю!

perdun
Имхо маловерятно...

RussianNeuroMancer
что характерно, хард тока что из магазина!... и удалось загрузицца с юсб единожды, но есть и второй, обсыпавшийся, дык вот его биос опознаёт как родного, п-ста, грузись...

Добавлено:
к тому, что глюки переходника исключаются...

Цитата:

десь, леший попутал, зайти фдиском в визард-моде и произвести некие шаманские действия

Шаманские действия описать поподробнее можешь?

Всем привет.
Вот настала пора ставить сервер. Решил FreeBSD.
Пока всё по плану.
Осталось интернет раздать и билинг поставить, а также тунель прозрачный построить с другой фрёй. Что бы машины оттуда с такими же IP(192.168.0.*, но конечно же неповторяющимися,) ходили через эту в нет.


natd и NETAMS vtun и ipfw

Так вот есть пара вопросов.

Для раздачи инета надо завернуть трафик на natd ?
Кто строил тикие тунели ? можно в 2-ух словах куда рыть ? Может ли vtun такое ?

Заранее спасибо.

slech

Цитата:

а также тунель прозрачный построить с другой фрёй. Что бы машины оттуда с такими же IP(192.168.0.*, но конечно же неповторяющимися,) ходили через эту в нет.

у гейтов разные внешние ip ? тогда (имхо) freeswan лучше поставить.


Цитата:

Для раздачи инета надо завернуть трафик на natd ?

если будет VPN , то natd заварачивать трафик идущий на 80 порт к локалхосту с портом на котором слушает прокся.

angelweb
xx.xxx.xxx.73    xx.xxx.xxx.72

Инет раздавать только через NAT поэтому и биллинг NETAMS
Поэтому надо вроде как ты сказал
заварачивать трафик идущий на 80 порт к локалхосту с портом на котором слушает проксяна natd

Я прав ?

slech

как понимаю, будет использоваться squid, следовательно надо делать как и написал.

Как вариант открыть порт прокси для второй подсети и всем через него ходить .

angelweb
тазик 1
rl1 192..168.0.1-100/24
edo xx.xxx.xxx.72

тазик2
rl1 192..168.0.100-255/24
edo xx.xxx.xxx.72

Важно сделать так чтобы без каких либо настроек потом компы видели друг друга прозрачно, т.е. типа они все в одной сети.

ping 192.168.0.1 что бы у всех был одинаков


Инет раздавать только через natd

KVCH
тебе не надо натить эти сетки между собой. Тебе нат нужен на внешних интерфейсах. Или я не понял твоих объяснений.


Цитата:

т.е. когда klient 2 ip. 10.0.0.3 будет запрашивать klient 1 ip. 192.168.0.2 у klient 1 ip. 192.168.0.2 должен быть "виден" айпи сервера 192.168.0.6

а нафига это надо ? у тебя что айпишников не хватает или что ? Обычный роутинг нужен - зачем нат ?

slech
нарисуй картинку?


Добавлено:
кста - никто не сталкивался с такой канителью:

Есть FreeBSD 6.0 релиз; Squid 2.5.STABLE11; PF+ALTQ
squid работает прозрачно через PF гдето так:

/etc/pf.conf

altq on $int_if bandwidth 512Kb hfsc queue {in1 in2}
queue in1 priority 1 bandwidth 50% hfsc(red default)
queue in2 priority 5 bandwidth 50% hfsc(red upperlimit 300Kb)


nat on $ext_if from $int_net to any -> $ext_ip1
rdr on $int_if proto tcp from $int_net to !$int_net port {$squid_ports} -> 127.0.0.1 port 3128

pass on lo0
pass on $int_if from $int_net

pass on $int_if poto tcp from any port 80 queue in2

pass out on $ext_if from $ext_if keep state
----------

не получается завернуть трафик возвращающийся со сквида в очередь и/или заблокировать его.
tcpdump'ом виден трафик удовлетворяющий условиям "from any port 80". если убрать редирект на сквид - все ок

объясните, плз, почему так может быть?

PS: трафик успешно попадает в дефолтную очередь
PPS: сейчас стоит Squid 2.5.STABLE14

Core ghoule
да подробностей немного, поскольку лазил (как оказалось не там ) с целью тока поменять иноде с ad0s4 на ad0s1 и кроме "help\?\ENTER" ничего не нажимал.
ЗЫ. А где мона подробный толковый мануал по "визарду" надыбать (желательно русский) ?

urel

Предлагаю провести следственный експеримент.
Ты берешь ставишь отдельный сквид , чтобы он просто работал проксей. Берешь какой-нибудь менеджер закачки фалов , который умеет ограничивать скорость скачки и изменять ее на лету, например флешгет.

Теперь ставь качаться какой-то фильм и ограничь скорость например на 1К, сходи попей чайку, а когда вернешься - просто сними ограничение на скачку. Посмотришь какие тебе скоростя начнет рисовать флешгет.

Понимаешь что получается ? У сквида есть клиент , он запросил файл и упорно его тащит, значит файл клиенту нужен. Если нужын - сквид его качает, а качает любые данные сквид на все деньги. В итоге получается, что данные - все равно льются с максимально возможной скоростью. Тоесть очередями между сквидом и клиентом ты никакого эффекта как-бы и не получишь.

tankistua

тебя понял, спасибо, но -

эксперемент такого плана проводился на релизе 6.1 ставил его между собой и веб сервером было тоже самое.

вопрос в том что altq создает очереди in1 и in2 на внутреннем интерфейсе - in1 дефотная через нее и выходит трафик по ее правилам. если прописать что траф от веб серверов пихать в очередь in2 - фиг вам - национальная индийская изба (с) кот Матроскин

нехотелось delay pools юзать но видно нужно =)

urel
Вот собственно структура предполагаемая.
2-а сервака.
Там где AD -Active Directory много машин.
Где Workgroup - Workgroup поменьше машин.

Всех в домен не включил так как сеть не всегда стабильна да и трафика много на это ушло бы наверное.

Так вот отсалось тунель сделать розрачный.
Тут вроде похожее есть.

Может кто строил ?
Заранее спасибо.

192.168.0.3 шлюз провайдера
192.168.0.4 1й свитчик в котором шлюз - 192.168.0.3
192.168.0.5 2й свитчик в котором шлюз - 192.168.0.3
192.168.0.6 мой сервак
10.0.0.1 мой сервак
10.0.0.7 мой комп

Цитата:

а нафига это надо ? у тебя что айпишников не хватает или что ? Обычный роутинг нужен - зачем нат ?

ну и как тут роутинг сработает ?
192.168.0.3 шлюз - чтобы можно было попасть на свитчи подключившись к провайдеру.
а чтобы 10.0.0.7 мог попасть на свитчи - шлюз должен быть в свитчах 192.168.0.6
или я не прав?

slech

Цитата:

Вот собственно структура предполагаемая.

чем рисовал ?

KVCH
Visio. Только начал его осваивать.

KVCH

Цитата:

192.168.0.3 шлюз провайдера
192.168.0.4 1й свитчик в котором шлюз - 192.168.0.3
192.168.0.5 2й свитчик в котором шлюз - 192.168.0.3
192.168.0.6 мой сервак
10.0.0.1 мой сервак
10.0.0.7 мой комп

ну если в сети 192.168.0.0 гейтом по-умолчанию стоит 192.168.0.3, то что ты ни прописывай у себя на 192.168.0.6 - ничего не поможет.


надо на машинке 192.168.0.3 прописать роутниг.
route add -net 10.0.0.0/24 192.168.0.6

Добавлено:
slech
а это стандартные наборы графики из комплекта ? чето я там таких не видел картинок :(

slech
мое маленькое имхо - нужно бить на подсети иначе arp соовать в тонель?
может проще PPTP, L2TP; побить на подсети; поднять винсо второй сети; в днс 1й винс лукап

Добавлено:
2 tankistua
в категории Network
а еще есть какойт большой экстеншен пак к нему - обсуждалось в варезнике, правда к 2003 не подходит

Добавлено:
2 KVCH
или марштут на свичах или их гейте те 0,3
или нат

tankistua
вот потому я про нат и спросил.
т.е. при запросе с компа 10.0.0.7 айпишника 192.168.0.5 - чтобы зашёл, как бы, сам сервер 192.168.0.6

Цитата:

надо на машинке 192.168.0.3 прописать роутниг.
route add -net 10.0.0.0/24 192.168.0.6

вариант, но свзь физическая может пропадать между 192.168.0.3, 192.168.0.4 и 192.168.0.5, 192.168.0.6
вот ещё - а прокси?

urel
На данный момент стоят 2-а микротика
Interface: 192.168.0.admin --- 0x2

Internet Address Physical Address Type
192.168.0.1 00-0a-5e-54-08-15 dynamic
192.168.0.2 00-11-11-6e-fb-54 dynamic
192.168.0.8 00-0b-6a-2f-dd-cb dynamic
192.168.0.201 00-0b-6a-3e-b2-04 dynamic
192.168.0.202 00-0b-6a-2d-a2-44 dynamic
192.168.0.205 00-e0-4c-77-19-cc dynamic
И вот что есть.

Скажи почему плохо ?

slech
я не сказал что это хорошо илиплохо - но как мне кажеться это усложняет управление сетью

KVCH

Цитата:

вариант, но свзь физическая может пропадать между 192.168.0.3, 192.168.0.4 и 192.168.0.5, 192.168.0.6 вот ещё - а прокси?

офигеть - дайте две. У тебя в локалке нету гейта, а гейт находиться за модемом. Кто ж так строит.


Добавлено:
это у тебя все броадкасты летают по линку и прочий мусор. Нетбиос тот же. Ужасть.

блин. не я строил. так построили. откуда там взяться нетбиосу если сеть 192.168.0.0/29 предназначена для управления 4м и 5м хостами - свитчиками. Всего четыре хоста, два сервака и два свитча. Можно я тебе в приват нарисую полную картину ?

нифига не понимаю, зачем такое нужно было стороить.

У тебя пакеты бегаю через 2 серые сетки , а ты рельно не можешь рулить в этих сетях. Нафига такое надо - я не понимаю. Если тебе надо быть во второй сети - поставь в комп вторую сетевуху и живи. Пропиши только айпишник и маску - гейты не прописывай.

Нафига такое строить - я вообще не понимаю.

я ведь попросил помочь нат поднять
Цитата:

нифига не понимаю, зачем такое нужно было стороить.

какое построили - такое есть.

Цитата:

У тебя пакеты бегаю через 2 серые сетки , а ты рельно не можешь рулить в этих сетях.

1) я в сеть 192.168.0.0/29 имею доступ с сервера. но мне нужен доступ к двум хостам этой сети из сети 10.0.0.0/24. Доступ нужен на 80е порты этих хостов - к веб интерфейсу управления.
2) я могу рулить в сети 10.0.0.0/24 и могу рулить на сервере. ( то куда у меня есть доступ )
Цитата:

Если тебе надо быть во второй сети - поставь в комп вторую сетевуху и живи

как ты себе это представляешь ? ты не думал что этому может препятствовать тех. возможность ?

посмотри в пм, пожалуйста.

KVCH

кажись теперь понял - тебе надо нат настроить :)

# в rc.conf пропиши
ipnat_enable="YES" # Set to YES to enable ipnat functionality
ipnat_rules="/etc/ipnat.rules" # rules definition file for ipnat

# kldload ipfilter - загрузить модуль ipfilter

#echo "map xl0 10.0.0.0/24 -> 192.168.0.6/32 proxy port ftp ftp/tcp" >> /etc/ipnat.rules
#echo "map xl0 10.0.0.0/24 -> 192.168.0.6/32" >> /etc/ipnat.rules

// xl0 - впиши сетевуху, у которой айпишник 192.168.0.6

/etc/rc.d/ipnat start

Если используется фаервол лучше его отключить на момент проверки и уже потом настраивать.
Если все заработает - то надо будет ядро пересобрать

options DUMMYNET
options IPDIVERT
options IPFILTER
options IPFILTER_LOG

Всем привет.
Хотел спросить вот что:

ifconfig может присвоить IP адрес интерфейсу и записать его в файл rc.conf, того же эффекта можно добиться правя этот файл ручками.
Но он не применится сразу. Как это сделать без перезапуска системы ?

Заранее спасибо.


Добавлено:
И ещё вопросик:
Кто объяснит с запуском правил для ipfw
есть rc.conf
в нём написал
firewall_script="/etc/firewall.conf"
есть файл firewall.conf
Ручками он запускается, а почему не хочет из rc.conf срабатывать ?

/etc/rc.conf

firewall_enable="YES" # Set to YES to enable firewall functionality
firewall_script="/etc/ipfw.conf" # Which script to run to set up the firewall