Две линии инета (Utel+KT) на роутере.

[userdef]

Недавно в офисе такое замутил. Линия Utel коммутируемая(в смысле PPPoE) , линия KT ессно статика. Траф для KT идет соответственно через КТ сетевуху, анлим от Ютел берет фсе остальное. 
 Кому интересно- пишите- выложу решение и конфиги. 

[Ы]

Жжоте всегда хател такое замутить, только хрен дождешся ктшников +100

[Ариец]

Недавно в офисе такое замутил. Линия Utel коммутируемая(в смысле PPPoE) , линия KT ессно статика. Траф для KT идет соответственно через КТ сетевуху, анлим от Ютел берет фсе остальное. 
 Кому интересно- пишите- выложу решение и конфиги. 

Ведмед вроде же про это уже изголялся...

[Ы]

У ведмеда внешка шла по безлимитному впну, а внутренний траф напрямую

[userdef]

У Ведмеда тот же принцып работы.Разница в NATe(MAQUERADE). Суть в том, что у нас есть 3 сетевые карты на роутере.1-для внутренней сети,2-для модема АДСЛ,3-для КТшной линии.

Файл interfaces;(Делал под Дебианом)
#######

Код:

auto lo
auto eth0
iface lo inet loopback
	up /etc/network/firewall
# The primary network interface
allow-hotplug eth0
iface eth0 inet static ### Интерфейс лоя модема
	address 10.10.0.2
	netmask 255.255.0.0
	network 10.10.0.0
	broadcast 10.10.255.255
	
auto eth1 
iface eth1 inet static    ###Интерфейс для внетренней сети
	address 192.168.100.100
	netmask 255.255.255.0
	network 255.255.255.0
	broadcast 192.168.0.255

auto eth2
iface eth2 inet static
          address xxx.xxx.xxx.xxx
          netmask 255.255.255.192

       
############

установка PPPoE соединения с помощью pppoe-start ( в комплекте pr-pppoe )

файл pppoe.conf

###

Код:

ETH='eth0'
USER='xxxxxxxxxxx'
DEMAND=no
DNSTYPE=NOCHANGE
PEERDNS=no
DNS1=195.38.32.2
DNS2=195.38.33.2
DEFAULTROUTE=yes
CONNECT_TIMEOUT=30
CONNECT_POLL=2
ACNAME=
SERVICENAME=usi
PING="."
CF_BASE=`basename $CONFIG`
PIDFILE="/var/run/$CF_BASE-adsl.pid"
SYNCHRONOUS=no
CLAMPMSS=1412
LCP_INTERVAL=5
LCP_FAILURE=30
PPPOE_TIMEOUT=80
FIREWALL=NONE
LINUX_PLUGIN=
PPPOE_EXTRA=""
PPPD_EXTRA=""

####################
и настройка фаервола

Код:

#!/bin/sh
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "0" > /proc/sys/net/ipv4/conf/all/proxy_arp
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
LOCALNET="192.168.100.0/24"
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

iptables -A FORWARD -j ULOG --ulog-nlgroup 1 --ulog-cprange 48 \
	    --ulog-qthreshold 50 --ulog-prefix "FORWARD"

#iptables -t nat -A PREROUTING -s $LOCALNET -p tcp -m multiport --dport 80,81,82,83,88,8080,8081,8000 -j REDIRECT --to-port 111
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -s $LOCALNET -j ACCEPT
iptables -A INPUT -s $LOCALNET -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT


iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

##############

файл rc.local
######

Код:

route add -net 78.139.64.0/18 dev eth2
route add -net 80.78.103.0/28 dev eth2
route add -net 80.78.104.0/28 dev eth2
route add -net 80.78.114.0/28 dev eth2
route add -net 80.78.115.0/28 dev eth2
.......... и так далее для фсех подсетей

вот соссно и фсе. !!!

[Ариец]

userdef, если бы ты еще и на каменск.нет статью выложил, то цены бы тебе не было... =)

[userdef]

базаранет
тока я там логин и пароль забыл. давно регилсо.

[flynbit]

iptables -A FORWARD -j ULOG --ulog-nlgroup 1 --ulog-cprange 48 \
       --ulog-qthreshold 50 --ulog-prefix "FORWARD"

чем собираешь из ULOG? Просто когда я пробовал его, он был кривой by design — в ULOG терялись пакеты при большой нагрузке, соответственно статистика показывала трафик на Марсе, а не реальный…

[userdef]

Это для считалки траффика "subbilling". Она нам чисто для информации. Под большой нагрузкой не проверял.
З.Ы. Это не ULOG, a ulog-acctd

[flynbit]

Это для считалки траффика "subbilling". Она нам чисто для информации. Под большой нагрузкой не проверял.
З.Ы. Это не ULOG, a ulog-acctd

ясно.
З.Ы. ulog — это особый буфер в netfilter, из него можно забирать информацию разными программами, и я имел в виду как раз его, а не ulog-acctd. Хотя последний — хорошая штука, если бы не потери пакетов в самом ulog, даже с максимальным размером буфера. У меня во время экспериментов с ним инфа складывалась в sqlite, из которой строились произвольные отчеты. В теории — хорошо, а на практике не очень. Ладно, проехали.

[Ариец]

* Ариец умничает:

ULOG - это технология журналирования. Реализации этой технологии, - демоны ulogd и ulog-acctd.  :)

[flynbit]

ULOG - это технология журналирования. Реализации этой технологии, - демоны ulogd и ulog-acctd.

Тупой циклический буфер. В буфер кидаются пакеты или только определенные фрагменты пакетов, для статистики достаточно только заголовка IP. Данные из буфера считываются в сыром виде одним из демонов. Если данные поступают слишком быстро, в буфере старые данные успевают затереться раньше, чем успеет прочитать демон. Криво by design.

Есть еще IPqueue, которые копирует каждый пакет в userspace, где демон его анализирует, а затем отправляет обратно в ядро. Гораздо более медленная, но точная технология, однако в случае смерти демона пакеты не идут, ну и сеть тормозит, естественно.

Есть также счетчики в iptables. Быстро и надежно, однако не детализировано, но можно насоздавать стопятьсот правил на все случаи жизни.

Сбор статистики — актуальная проблема Linux'а была, как сейчас не очень знаю, но раньше cisco'вский netflow давал намного лучший результат.

[userdef]

flynbit, ежели не секрет. Те для чего такая надежность.Я так понял ты робишь одмином у какого то прова??
Если че, есть NETAMS, у которого несколько способов получения пакетов(ipq,eth,lipbcap)

[Ведметь]

установка PPPoE соединения с помощью pppoe-start ( в комплекте pr-pppoe )

файл pppoe.conf

###

Код:

ETH='eth0'
USER='xxxxxxxxxxx'
DEMAND=no
DNSTYPE=NOCHANGE
PEERDNS=no
DNS1=195.38.32.2
DNS2=195.38.33.2
DEFAULTROUTE=yes
CONNECT_TIMEOUT=30
CONNECT_POLL=2
ACNAME=
SERVICENAME=usi
PING="."
CF_BASE=`basename $CONFIG`
PIDFILE="/var/run/$CF_BASE-adsl.pid"
SYNCHRONOUS=no
CLAMPMSS=1412
LCP_INTERVAL=5
LCP_FAILURE=30
PPPOE_TIMEOUT=80
FIREWALL=NONE
LINUX_PLUGIN=
PPPOE_EXTRA=""
PPPD_EXTRA=""

Правильнее будет

Код:

DNSTYPE=SERVER
PEERDNS=yes
DNS1=
DNS2=
DEFAULTROUTE=yes

[userdef]

спасибо учту....
 но фсе дело делалось в 1 раз,(как говорил мне один гуру- сначало делаешь как работает, потом переделываешь как красиво)
т.е. твоя корректировка говорит : брать ДНС автоматом из DHCP сервера. А у меня они указанны явно.
З.Ы. система, несмотря на некрасивость, работает как часы.... так что я туда даже не лезу....