» маршрутизация трафика по портам/протоколам (2 канала)

тему назвал каряво как-то, но к сожалению ничего болшее умного не придумал
если подобная тема уже есть, просьба силно не пинать, ибо поиск и просмотр "оглавления" ничего не дал

вообщем такая проблема - есть 2 канала в инет(адсл и через локалку) так вот надо чтобы аська использовала локалку, а всё остальное, что есть на компе(качалки, браузеры) - адсл, кроме того имеется фтп-серв и ssh-серв, они ессесно тоже должны слушать локалку - как всё это возможно реализовать?

вопрос обусловлен тем, что по адсл выдают хоть и внешку, но динамическую, к тому же идёт фильтрация исходящего траффа(как то - невозможность поставить фтп, хттп-серв), а по локалке статическая внешка с исходящим анлимом без фильрации

Если есть 2 канала -> 2 сегмента адресов.
Какие адреса на локальных станциях, как их раздаешь?

первое, что возможно использовать - прокси с automatic configuration

мне б сперва это сделать на своём компе, без раздачи дальше по локалке
у меня статический внешний\внутренний(192,168,*) адреса
в локалке выдаются только внутренние айпишники по DHCP, но это пока не важно, для начала неплохо бы было на своём компе разобраться

l4m3r

А что на роутере стоит?

Если *nix, можно организовать конечно. А если windows, тогда надо позвращаться малехо.

Добавлено
Да еще,. как организован выход в нет?

И еще, если фильтруеться исходящий траффик, ты можешь легко обмануть провайдера.

винда стоит, ибо роутер - мой рабочий комп =), да и по адсл исходящий канал узок больно
локалка - через гейт

l4m3r

Ну тогда смотри реализации НАТа разные, где ты можешь в зависимости от порта в тср пакете, по разному транслировать ИП

А есть какие-нибудь конкретные примеры ? Или может кто знает какие-нибудь стороннии проги для реализации этой фишки ? У меня примерно схожая проблема: 2 инет канала, часть юзеров надо пустить на один, часть на другой...
пока никак..
хелп плиз..

CoFFineR

Под виндой не знаю,. Может Kerio Winroute, у него есть фишки по работе с НАТ,. Может быть MS ISA, только я не помню, можно ли там колбасить две внешних линии,.

просто это настолько просто реализуеться под linux, что винда на шлюзе мне кажеться цирком,.

да был бы ещё один комп под шлюз... а так поставлю я себе никс и как мне в кс играть? =) вайнХ не предлагать =)
а расскажи тогда как организовать всё то же самое на linux, ибо тут валяется один старый комп(цел500), думаю его для таких дел хватит

l4m3r

Фууух,. тебе достаточно взять любой известный дитр, и попробовать его поставить на это самый комп,.

Не советую начинать с редхет, он дурной,. также не рекомендую gentoo (хоть я его и использую повсеместно), но он не для такой машины, и не для твоих каналов,.

Для начала купи что-то вроде mandrake 9-10, или debian , или что-то из rpm-based,. И для начала просто установи, так чтобы он заработал,. А дальше сам поймешь что делать,. ибо разбираться тебе прийдеться довольно долго, для того чтобы понять все что ты должен сделать,.

А тебе надо будет сделать всего три вещи,. 1. Установить сам дистр. 2. Установить iptables 3. Настроить сеть и iptables,. Ну ничего сложно тут нет,. даже все очень просто,.

З.Ы. Сорри за путанный ответ,. утро как никак,.

l4m3r
Маленькая ремарка: никакой несовместимости между твоими каналами и gentoo нет. Будешь его ставить или нет -- дело твое.

да ooptimum прав. Имел ввиду, что для того, чтобы нормально использовать gentoo, необходимо скачивать довольно большой обьем исходников. Если с нуля, то не меньше 150 Мб,.

ну если честно с линуксом я знаком на уровне пользователя - второй операционкой стоит сусе 9.1 про =)
я когда спрашивал, то имел ввиду что там в iptables писать? =)
хотя лучше б всё это в винде сделать..точно никаких способов нету?

способов? может и есть, только не знаю,.

а писать надо что-то вроде следующего (пишу руками, потому могут быть очепятки)

iptables -t nat -POSTROUTING -p tcp --dport 5190 -m state --state NEW,RELATED,ESTABLISHED -j SNAT --to-source $EXT_ETH
iptables -t nat -POSTROUTING -p udp --dport 5190 -j SNAT --to-source $EXT_ETH
iptables -t nat -POSTROUTING -j SNAT --to-source $EXT_ADSL

ну а на каком интерфейсе слушают ftp, и ssh зависит от настроек соответствующих программ.

Ну и всё-таки, никто не знает поконкретнее как можно под виндой заняться source routing`ом. Знаю прогу nat32 , но что-то я с ней не смог подружиться... да и лекарствами от жадности там проблемы. Есть ещё под ису что-то типа рай коннект, или как то так...
Вобщем проблема всё ещё открыта, требуестся помощь.

Самое ИМХО простое решение:
а)ставим на компе два сетевых интерфейса с разными шлюзами (в две разные сети)
б)ставим файрвол, работающий на уровне приложений и разводим их по нужным интерфейсам.
Например Sygate personal pro:
"Allow users to configure an Internet application to utilize only a specified adapter, improving application security."
В принципе наверное можно сделать и на одном интерфейсе с двумя IP
Вариант :
На сетевой карте указываем один шлюз.
Поднимаем на компьютере сокс сервер, настроенный на другой шлюз.
Приложения запускаем либо просто так, либо под sockscap32.exe (через другой шлюз)
http://www.socks.permeo.com/Download/SocksCapDownload/index.asp

PS
>под ису что-то типа рай коннект, или как то так...
http://www.rainfinity.com/products/rainconnect.html

Идея хороша, а получится ли то же самое сотворить не для приложений а для айпишников, т.е. один ип идёт по 1 каналу, другой - по 2.. ?
А по поводу райн коннект всё плохо, кряков к нему никто не видел, а чтоб купить его, нужно продать квартиру...

CoFFineR
Ну это-то вообще просто...
Напр. я иногда пользуюсь услугами Kerio Winroute Firewall, к-рый стоит на рабочей машине (с образовательными целями). машина подключена к двум независимым провайдерам. Допустим некоторый интересный сайт открывается исключительно из сети одного из провайдеров. Просто в winroute, во вкладке routing table , пишем адрес сайта, маску 255.255.255.255 протокол ( в нашем случае http) нужный интерфейс и шлюз для этого интерфейса. И все... Аналогичное можно проделать и с голой Windows (Во сказал )...

Пардон, не правильно выразился... Есть сервак, за ним сидят юзера через нат. Так вот, как сделать чтоб 1 пользователь выходил в инет по 1 каналу, другой по другому...
Насколько я понимаю стандартными средствами винды этого сделать не возможно.. Хотя я могу ошибаться, переубедите меня пожалуйста.

Лёхин, закрой встроенным файерволом интерфейс для определённых айпишников.
2 IP на одном интерфейсе в сеть и 2 маршрута в интернет (к разным интерфейсам). У части делай шлюзом один IP, у части второй.

P.S. Лучше переезжай под *NIX

Привет ТОхин,
Никс отпадает, рабираться времени нет, а вот про твой метод...хмм это очень интересно, только я не воткнул что именно закрывать ? Какой интерфэйс для кого именно закрывать ?
Давай на живом примере, есть юзер 1 и 2 , есть наружный интерфейс 1 и 2 , кого закрыть и где, и как направить тьрафик с одного внутреннего интерфейса на другой ?

Покумекал и понял, что несколько погорячился. Вобщем нужна программа, которая сделает тебе перенаправление пакетов:
Внутр. Интерфейс Внешний
a.b.c.1 --> x.y.z.1
a.b.c.2 --> x.y.z.2
a.b.c - два ай-пи на одном физическом интерфейсе. И в принципе, если ты скажешь, чтобы народ ходил через разные шлюзы, то и закрывать ничего не потребуется....

Единственное, что не могу сейчас проверить: можно ли сделать что-то поинтереснее на win2k Server, там более расширенная служба маршрутизации...

Добавлено
не хочешь учить ЮНИКС, купи циску (7200/7500/12000 ), она умеет маршрутизировать, однако

Вопрос решается с помощью wipfw — порта ipfw под win32.

с помощью wipfw пока этот вопрос не решается, не умеет пока еще делать перенаправление.

Цитата:

с помощью wipfw пока этот вопрос не решается, не умеет пока еще делать перенаправление.

ipfw fwd ... ???? divert ????

c000ker

действительно, забыл что он не реализовал еще...
А если организовать «всеобщий» ICS, а потом просто allow, deny-ями разрешить нужные направления?

ой сори не пашет ...

vu1tur

Цитата:

А если организовать «всеобщий» ICS, а потом просто allow, deny-ями разрешить нужные направления?

Это последний вариант, который я ещё не опробовал, но мне кажется не выйдет ничего..

Добавлено
c000ker
Когда можно ожидать появления этой функции в вашей замечательной программе ?

Добавлено
А как люди думают, если через бридж это сделать (софтовый в win2003) ?
создать 2 внутр интерфейса, при имеющихся 2х внешних, и забриджить 1 внутр на 1 внеш, и соответственно все юзеры подключающиеся к 1 интерфейсу идут через 1 бридж , а те кто через другой идут по 2ому бриджу... запутанно конечно получилось, но по другому пока не могу объяснить...
Правда тонкости работы бриджа я пока не знаю..

В wipfw эта функция будет реализована еще не скоро, ориентировочно к новому году

Очень жаль..

Люди, тема всё ещё открыта, нужно из сети выпускать пользователей через 2 канала, часть через 1 часть через другой...