Люди , помогите чем можете. Мож кто сталкивался....
Есть фрюшный(6.0) роутер (ipfw+natd). В нем 4 интерфейса, fxp0 и rl0 смотрят на разных ISP, re0 смотрит в локальную сеть ,re1 в серверную. fxp0:172.16.0.1/24 - ISP1 rl0:172.16.1.1/24 - ISP2 re0:10.0.1.1/24 - локальная сеть(около 1000 машин) re1:10.0.0.1/24 - серверная сеть
Изначально задача стояла такая: - разрешить локальной сети ходить в серверную - разрешить локальной сети ходить в инет только по fxp0 - разрешить серверной сети ходить в инет только по rl0
При таких правилах на ipfw все работает вроде нормально
80 allow ip from 10.0.1.0/24 to 10.0.0.0/24 90 allow ip from 10.0.0.0/24 to 10.0.1.0/24 100 allow ip from 192.168.0.0/16 to 10.0.0.0/24 200 allow ip from 10.0.0.0/24 to 192.168.0.0/16 300 divert 8668 ip from 192.168.0.0/16 to any 400 divert 8672 ip from 10.0.0.0/24 to any 1000 fwd 172.16.1.100 ip from 172.16.1.1 to any 1100 divert 8668 ip from any to 172.16.0.1 1200 divert 8672 ip from any to 172.16.1.1 50000 allow log logamount 100 ip from any to any
за исключением того что ядро скомпилено по умолчанию на deny all from all, и пришлось написать в конец 50000 правило, иначе не работает. Но главная беда не в этом.... главная беда в том что при существующих настройках, как я догадываюсь natd, рубит все не особо активные соединения (irc,icq,ssh) с интервалом от 1-2 минут до получаса. Динамические правила не использую , значит смысла крутить net.inet.ip.fw.dyn_keepalive и net.inet.ip.fw.dyn_syn_lifetime смысла не вижу. Хотя можно попробовать сделать эти keep_state правила и покрутить, но нет возможности, народу много сидит за роутером и времени на эксперименты мало.... Присоветуйте чтонить?
