2 канала IPFW+FIB

edxsse1 · Непрочитанное сообщение **edxsse1** » 2022-03-29 12:57:04

Добрый день! пытаюсь решить задачу с 2 реальниками 2 таблицами маршрутизации и ipfw, точнее сказать почти решил, но есть небольшая проблема, которую не могу решить.
em0 - Локалка
em1 - Первый канал с реальным IP
em2 - Второй канал с реальным IP
Есть вот такая незамысловатая конфигурация one_pass=0
add 1030 allow all from any to any via em0
add 1040 setfib 0 ip from any to any in recv em1
add 1060 setfib 1 ip from any to any in recv em2

nat 1 config log if em1 same_ports reset
nat 2 config log if em2 same_ports reset
add 10160 skipto 10170 tag 1 ip from me to any out xmit em1
add 10161 skipto 10180 tag 2 ip from me to any out xmit em2
add 10170 nat 1 ip from any to any out xmit em1 tagged 1
add 10180 nat 2 ip from any to any out xmit em2 tagged 2
add 10170 nat 1 ip from any to any via em1
add 10180 nat 2 ip from any to any via em2
add 13000 allow all from any to any
add 65534 deny log all from any to any

Ну а теперь самое прикольное, все работает на em1 - fib 0

В чем проблема интерфейс на fib 1 в какой то момент перестает пинговаться и не начнет пока со стороны фрюхи не сделаешь setfib 1 ping куда-нибудь и если пинг оставить на вечно то всё ок. Но если пинг убираем то интерфейс на fib 1 через какое то время перестает отвечать.
оба интерфейса получают ip по dhcp проверил с lease time не связано никак.

Я предполагаю что косяк с правилами, но в чем именно понять не могу. Заранее большое спасибо за помощь.

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Demis · Непрочитанное сообщение **Demis** » 2022-04-01 19:24:32

Честно говоря - не знаю, что Вам посоветовать.
Но есть соображения:
1. Сначала разрулить правила по сетам.
Один интерфейс в один сет, второй - в другой.
Сеты мы видим по:

Код: Выделить всё

ipfw -S show
00300    3805398     573936836 set 0 allow ip from any to any via lo0
...
65535          0             0 set 31 deny ip from any to any

По дефолту дени в 31-ом сете.
2. И смотрим очень внимательно man ipfw, на предмет тегирования в правилах:

Код: Выделить всё

     tag number
             When a packet matches a rule with the tag keyword, the numeric
             tag for the given number in the range 1..65534 will be attached
             to the packet.  The tag acts as an internal marker (it is not
             sent out over the wire) that can be used to identify these

Код: Выделить всё

     fib fibnum
             Matches a packet that has been tagged to use the given FIB
             (routing table) number.

Код: Выделить всё

     tagged tag-list
             Matches packets whose tags are included in tag-list, which is
             either a single value or a list of values or ranges specified in
             the same way as ports.  Tags can be applied to the packet using
             tag rule action parameter (see it's description for details on
             tags).

Если-бы у меня стояла задача подобная Вашей, пошел-бы именно по этому пути...

edxsse1 · Непрочитанное сообщение **edxsse1** » 2022-04-04 16:49:15

Добрый день! Понял спасибо, буду курить данное направление, честно говоря хоть что-то!

forum.lissyara.su