Настройка сетевого шлюза
 

Всем привет. Помогите, пожалуйста, решить такую проблему.
У меня есть такая конфигурация:

База и шлюз располагаются на одном компьютере (под кправлением FreeBSD 7.0). Соответственно на этом компьютере стоит 3 сетевухи. Есть два разные подключения к интеренет: ADSL и выделенка. Надо чтобы весь трафик из локалки и самого шлюза уходил по выделенке, а все запросы к базе и ее ответы ухрдили через РРРоЕ. При этом локалка тоже должна иметь доступ к БД.

Сама проблема - настроить это все вместе. Отдельно плучается настроить и РРРоЕ и выделенку. Но настроить это все вместе вызывает трудности. Ответьте, пожалуйста, на след. вопросы:
1. При настроке фильтрации IPFilter для РРРоЕ указывать интерфейс в правилах надо rl0 (сетевуха, к которой подключен модем) или tun0 (тунельное устр-во, которое создается при включении РРРоЕ соединения)
2. На шлюзе надо указать маршрут по-умолчанию. Если указать шлюз провайдера выделенки, как будут вести себя ответы БД наружным клиентам? Т.е. не будет ли такого, что запрос пришел через РРРоЕ а ответ ушел через выделенку? Если будет, то как этого избежать, если нет - то почему?
3. Правильно ли я понимаю логику настройки IPFilter для этой ситуации?
а) все проходящие через шлюз исходящие из локалки направляю на выделенку
б) все исхдящие из шлюза - на выделенку
в) все исходящие через РРРоЕ запретить, кроме уже установленых соединений
г) все входящие на РРРоЕ запретить, кроме пингов и запросов к базе

Заранее спасибо за ответы

routing + firewall тебе в помощь

И вопрос еще в догонку: а какими программными средствами лучше пользоваться для решения этой задачи?

route + ipfw

это так навскидку, просто не охота вникать глубоко в твою проблему.

tun0

А что за база? Как к ней подсоединяются? Какой порт?

если через определенный порт, то уже что-то можно подумать.

например (логика)

if [порт=Порт_базы и шлюз=Провайдер_Езернет] then откинуть пакет else обработать.

выводы:
1. Если идёт сигнал с сетки, то будет обработка базы.
2. Если идёт сигнал с РРРоЕ, то будет обработка базы.

теперь по какому каналу должно идти назад:
надо усложнить логику.

Если в пакете указан порт базы данных и адрес отправителя/получателя есть шлюз Эзернет, то пакет откинуть.

База MySQL. Висит на порту 3306

а как ты разруливаешь ситуацию с двумя провами вообще? (если не брать во внимание базу данных)

Пока еще никак :(
Изучаю PF и думаю как сделать

ну вот, с этого и можно начать. :-)

динамическая маршрутизация и т.д.


а то постоянно менять роутер по умолчанию на лету - наверное плохая идея.

Это по поводу двух провайдеров:
PBR PF : http://www.lissyara.su/?id=1276
PBR IPFW: http://ipfw.ism.kiev.ua/pbr.html

Этого в данном случае и не нужно, достаточно сказать:
1. шлюзу, что IP-адрес, на котором крутится MySQL - доступен ч/з PPPoE.
2. IP-адресу, на котором крутится MySQL - указать дефолт на PPPoE.

ну а всё таки, никто не пробовал программным способом меня роутер по умолчанию "на лету"?

идея конечно тупая, но всё таки, интересно.

2Dm1try:
Спасибо за ссылки. Общую идею понял. Но есть маленький вопросик к статье
Там такая строка в правилах:
pass in on $ext_if reply-to ($ext_if $ext_gateway) inet proto tcp \
tagged WEB_SERVER keep state

В мануале написано, что reply-to надо указывать интерфейс, а тут ($ext_if $ext_gateway). Одно интерфейс, другое - IP-адрес. Как в данном случае надо трактовать это выражение?

Видимо это шлюз на внешнем интерфейсе.

Спасибо за ответы. Получилось все настроить почти с первого раза. :)

Но остался неразрешенным маленькая проблема. У меня есть две линии. Одна - выделенка, другая РРРоЕ. В rc.conf указываю default gateway - шлюз провайдера выделенки. Но когда происходит коннект РРРоЕ он перезаписывает default gateway на свой. И все бы ничего, но это убивает весь трафик с этого компьютера.

Вопрос: можно ли как-то запретить РРРоЕ менять default gateway? Если да - то как. Если нет - то какие есть способы решения проблемы?

Менять default gateway после загрузки не хотелось бы, ведь если будет реконект РРРоЕ, то снова менять...

ты про Зебру слышал?

неа. Не слышал. Что оно есть и как про него читать?

Простите - но это бред, в данонй ситуации. Поднимать протоколы динамической маршрутизации только ради двух маршрутов, однако!?!
Тем более, что зебра уже давно мертвец и все используют ее форк - quagga.
Посмотрите внимательно настройки PPPoE и запретите прописывать маршрут по умолчанию (примерно вот эту строчку убрать add default HISADDR), вместо него используйте static route.