Jump to content
Local
Новичок я тут

NAT на freebsd

Recommended Posts

31 минуту назад, 911 сказал:

Не, ну то такое, лучше поставить 5 тазиков по 800 баксов, чем 1 за 300 + лицензия

 

Це ж на що ліцензія коштує більше $3700😮

Share this post


Link to post
Share on other sites

Разработчик The router обещал что цена лицензии будет очень гуманной, надо поинтересоваться.

Если это 100-200$ на систему и при этом копеечный сервер типа моих любимых Dell R210 сможет сколько в порты влезет(20Г) - почему нет, я готов платить.

Share this post


Link to post
Share on other sites
32 минуты назад, KaYot сказал:

Разработчик The router обещал что цена лицензии будет очень гуманной, надо поинтересоваться.

Если это 100-200$ на систему и при этом копеечный сервер типа моих любимых Dell R210 сможет сколько в порты влезет(20Г) - почему нет, я готов платить.

 

Аж ніяк не 100-200.

 

"TheRouter Border Gateway
routing, NAT, flow statistics, etc    
10g    1000 евро
20g    1800 евро
30g    2600 евро
40g    3000 евро

 

TheRouter BRAS
весь функционал    
10g    1800 евро
20g    3000 евро
30g    4000 евро
40g    5000 евро"

 

  • Thanks 1

Share this post


Link to post
Share on other sites
1 час назад, Zlobar сказал:

Це ж на що ліцензія коштує більше $3700😮

почти угадал

26 минут назад, Zlobar сказал:

30g    4000 евро
40g    5000 евро"

 

Share this post


Link to post
Share on other sites
1 час назад, KaYot сказал:

Разработчик The router обещал что цена лицензии будет очень гуманной, надо поинтересоваться.

Если это 100-200$ на систему и при этом копеечный сервер типа моих любимых Dell R210 сможет сколько в порты влезет(20Г) - почему нет, я готов платить.

Дурень думкой богатеет. (с)

Share this post


Link to post
Share on other sites

Люди, но это ж, ну даже не знаю, жаль время терять, вроде взрослые все. Даже если оно супер-пупер и сегодня продаётся за три рубля, оно всё равно  есть система с закрытым исходным кодом. В отличие от. И кто его знает, какие закладки там заложены нашими потенциальными старшими братьями? Параноя - может быть, но уж лучше я пешком постою, здоровее буду. Ну есть же уже Cisco, не к ночи будет сказано. Кому нравится постоянно бабло платить - велкам. Сегодня - три рубля навсегда, а завтра - три рубля в секунду, а то отключим газ. Но подглядывать всё равно будем. А послезавтра вообще отключим - вы нас не любите. А после-после завтра автору вообще надоест поддерживать - и делай что хочешь. Не, уж лучше мы по старинке как-нибудь, спасибо большое.

Share this post


Link to post
Share on other sites
12 часов назад, Baneff сказал:

И кто его знает, какие закладки там заложены нашими потенциальными старшими братьями? Параноя - может быть, но уж лучше я пешком постою, здоровее буду.

Если у Вас паранойя, то это еще не означает что за Вами не следят...

Share this post


Link to post
Share on other sites
19 часов назад, Zlobar сказал:

Аж ніяк не 100-200.

....

20g    3000 евро
30g    4000 евро
40g    5000 евро"

 

 

та ну нах .... я за такие деньги лучше на ebay куплю cisco ASR 1001-X

  • Thanks 1

Share this post


Link to post
Share on other sites
19 минут назад, Чучундра сказал:

 

та ну нах .... я за такие деньги лучше на ebay куплю cisco ASR 1001-X

За такие деньги можно и два таких браса купить.

Share this post


Link to post
Share on other sites

Пров с трафиком 10G и более не станет заморачиваться с тазиками за 300 уе...

Share this post


Link to post
Share on other sites

Ага, он поставит сервак типо R210 или G6/7/8 за 400+.

  • Like 2
  • Haha 2

Share this post


Link to post
Share on other sites

Надо с Ubuntu перейти на FreeBSD.

делаю нат так:

nat 1 config if vtnet0 reset same_ports
add 2 nat 1 ip from any to any via vtnet0

(vtnet0 - сетевуха в инет)

на машине много l2tp клиентов с интерфейсами ng0, ng1... ngХ. Все доступны. Но! между собой клиенты изолированы.

на Ubuntu можно было сделать так:

iptables -t nat -A POSTROUTING -j MASQUERADE

и пошёл трафик между клиентами.

Уже голову сломал, как так же запилить на фряхе???

 

 

Share this post


Link to post
Share on other sites

причина перехода?

Share this post


Link to post
Share on other sites

Если фрибсд знает маршруты к каждому клиенту, тоесть directly connected если ngX, то разрешите ходить трафику между подсетями клиентов типа

ipfw add 100 allow ip from 192.168.1.0/24 to 10.0.0.0/8

ipfw add 101 allow ip from 10.0.0./8 to 192.168.1.0/24 

 

При необходимости можно заюзать таблицы если много сетей.

Edited by blackjack

Share this post


Link to post
Share on other sites
13 часов назад, blackjack сказал:

Если фрибсд знает маршруты к каждому клиенту, тоесть directly connected если ngX, то разрешите ходить трафику между подсетями клиентов типа

ipfw add 100 allow ip from 192.168.1.0/24 to 10.0.0.0/8

ipfw add 101 allow ip from 10.0.0./8 to 192.168.1.0/24 

 

При необходимости можно заюзать таблицы если много сетей.

сейсас

allow ip from any to any

фрибсд то знает куда и как ходить. Я не пойму как заставить ее маскарадить с ng0 на ng1 и наоборот.

13 часов назад, 911 сказал:

причина перехода?

Ubilling. Сейчас сделано так: Микротик,к нему цепляю все сетки, Zabbix, Ubilling, ну и компы диспетчера там, админа. Проблеммы с эл-вом достали. Хочу переехать в облако. Микротик тут лишний. По идее и Zabbix не нужен, в Ubilling все есть. И я надеюсь, что проще победить маршрутизацию, чем убиллинг переносить на линукс.

Share this post


Link to post
Share on other sites
32 минуты назад, msat сказал:

Ubilling.

Абалдеть. Сейчас и так случаи перехода Linux -> FreeBSD можно сосчитать на пальцах одной руки, но вот из-за биллинга менять всю систему - это даже меня проняло. Неужели для линуха нет достойного биллинга? Аж интересно стало. Я против холиваров ибо каждому - своё, но в данном случае мне кажется это всё странным.

Share this post


Link to post
Share on other sites
4 hours ago, Baneff said:

Неужели для линуха нет достойного биллинга? Аж интересно стало.

 

Это немножко катастрофа. Если биллинги делаются под операционки. Особенно, написанные на интерпретаторах.

Edited by vop
  • Like 1

Share this post


Link to post
Share on other sites

на линухе:

iptables -t nat -A POSTROUTING -j MASQUERADE

как такое же сделать на фряхе???

Share this post


Link to post
Share on other sites
19 часов назад, msat сказал:

на линухе:

iptables -t nat -A POSTROUTING -j MASQUERADE

как такое же сделать на фряхе???

на фре:

ngctl -f << EOF

 mkpeer vlan777: utp lower lower

 connect vlan777: vlan777:lower upper upper

 msg vlan777:lower addfilter '{ l3_proto=0 action=3 flags=0x00000000 h0="lower" h1="upper" }'

EOF

как такое же сделать на линухе ???

Edited by Чучундра

Share this post


Link to post
Share on other sites
1 час назад, Чучундра сказал:

на фре:

ngctl -f- <<-EOF

 mkpeer vlan777: utp lower lower

 connect vlan777: vlan777:lower upper upper

 msg vlan777:lower addfilter '{ l3_proto=0 action=3 flags=0x00000000 h0="lower" h1="upper" }'

EOF

как такое же сделать на линухе ???

Спасибо! Поизучаем!!!

Share this post


Link to post
Share on other sites
2 часа назад, msat сказал:

на линухе:

iptables -t nat -A POSTROUTING -j MASQUERADE

как такое же сделать на фряхе???

 

20 часов назад, msat сказал:

nat 1 config if vtnet0 reset same_ports
add 2 nat 1 ip from any to any via vtnet0

 

nat 1 config ip xxx

ipfw add nat 1 ip from any to any

но будет очень много оверхеда на нат всего и вся

Share this post


Link to post
Share on other sites

Blya, зачем натить если можно роутить? Это ж внутри вашей секты.

Share this post


Link to post
Share on other sites
46 минут назад, l1ght сказал:

nat 1 config ip xxx

ipfw add nat 1 ip from any to any

Ну это не маскарад получается, а обычный snat. Фишка маскарада как раз в том что не нужно указывать IP, оно работает даже на ppp с динамическим IP.

Share this post


Link to post
Share on other sites
47 минут назад, KaYot сказал:

Ну это не маскарад получается, а обычный snat. Фишка маскарада как раз в том что не нужно указывать IP, оно работает даже на ppp с динамическим IP.

ну если он оставит 

nat 1 config if vtnet0 

то получится аналог маскарада, как я понимаю

  • Like 1

Share this post


Link to post
Share on other sites

А если и интерфейс убрать? Прокатит?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By Nejron
      Всем здрям! ))
      Изложу суть :
      Имеется некий сервис (в данном случае IPTV личного производства)
      Хотелось бы контролировать с билинга доступ к нему.
      В профиле пользователя создал дополнительное поле с типом "TRIGGER".
       
      А вот дальше хочу спросить как правильно заполнить свою таблицу для ipfw?
      Добавлять/удалять от туда ip клиентов и возможно еще что то посоветуете.
      Возможно кто то что то подобное делал,
      не оставте начинающего админа без совета 😉
       
    • By Oleg2018
      Посоветуйте ,такая ситуация при сканировании хоста с биллингом во внешней сети открытые порты 5555 (stargazer), и 80 (apache). Если их нужно наверное спрятать от внешней сети, то как правильно написать правило ipfw ,касательно этих портов.Все остальное что вылезло после установки я закрыл, а здесь не получается никак. Спаибо заранее. 
    • By Baneff
      Всем привет.
      Давно использую freebsd + ipfw + dummynet + kernel nat + ещё куча всякого разного и всё на одном серваке. Менять платформу не хочу - старый я уже для этого. Так вот. Нагрузка постепенно растёт, пора как-бы железо менять в очередной раз, но есть проблема. Всё в этой схеме прекрасно параллелится на мультиядерной системе. Всё, кроме старичка DUMMYNET. В очередной раз смотрю на процесс kernel{dummynet} и в очередной раз вижу конкретное узкое место во всй системе. Обойти невозможно, работает только в один поток и когда загрузка превышает 80-90% начинаются естественные проблемы. Все остальное работает с большим запасом по нагрузке. Вот и вопрос: как-то эту проблему удаётся решать? Чем шейпить юзеров, если не дамминетом? Или может появилась возможность как-то его параллелить? Или, возможно, какие-то новые методы позволяют как-то снизить нагрузку на дамминет? В документации появились некие новые варианты настроек CoDel, PIE, FQ-CoDel и FQ-PIE в дополнение к старым, может они помогут? Кто-то пробовал?
      Спасибо.
    • By rusol
      Здравствуйте, голова уже болит, мысли закончились, может кто-то подскажет чего...

      Ситуация такая:

      Клиент жалуется, что c их ftp, который находиться в России, плохая скорость (прыгает от 10 Мбит/с до 30 Мбит/с, по тарифу должна быть 100 Мбит/с), проверили на ftp другого хостинга - все нормально, 100 Мбит.

      Я бы не писал сюда, но есть одно большое НО.. когда я захожу на главный маршрутизатор (FreeBSD + Nodeny 50.32 + IPFW + PF), то с главного сервака скорость отличная, а за серваком (в сети) скорость падает, при этом на другие ftp скорость хорошая с сети...

      То-есть без связки Nodeny + IPFW + PF - скорость отличная (на главном серваке).

      Подставлял реальный IP сервака на локальную машину, думал может ftp по IP что-то ограничивает, эффекта не дало...

      Может кто подскажет куда поглядеть, у меня уже мысли заканчиваются...
×