rules - как занести группу подсетей

[Kucher2 122]

Проблема такая.

Есть несколько паритетных сетей. У каждой сети есть подсети со своей адресацией, класса С.

Надо НЕ считать трафик с/на эти подсети:

Существует также специальные адреса, которые зарезервированы для несвязанных локальных сетей — это сети, которые используют протокол IP, но не подключены к Интернет. Вот эти адреса:

 

1. 10.0.0.0 (сеть класса А, маска сети 255.0.0.0).

2. 172.16.0.0 — 172.31.0.0 (16 сетей класса В, маска каждой сети 255.255.0.0).

3. 192.168.0.0 —- 192.168.255.0 (256 сетей класса С, маска каждой сети 255.255.255.0).

 

Вопрос: можно ли как-то занести в rules диапазоны вида "172.16.0.0 — 172.31.0." или это надо каждую подсеть так вбивать? Может кто-то уже сделал подобное? Поделитесь пожалуйста.

 

И чтоб траф из моей сети в Инет и обратно - считался, у меня 10.0.0.0/24.

[nightfly 1 239]

я покажусь неоригинальным если скажу что /12 же?

 

ALL 172.16.0.0/12 NULL

[Kucher2 122]

Спасибо за подсказку, я давно хотел разобраться с масками и подсетями, да всё как-то не доходило. ... и вот сегодня...

Я тут почитал немного про маски и всё такое... почему 12?

Может быть 14?

172.16.0.0 — 172.31.0.0

172.16.0.0/14 = 172.16.0.0 mask 255.240.0.0

Далее:

16+(255-240)= 31

и получаем адреса:

172.16.0.0 - 172.31.255.254

 

Не?

Прошу понять меня правильно, я не пытаюсь критиковать, я хочу наконец разобраться в этом.

[nightfly 1 239]

172.16.0.0/255.240.0.0 и есть цидром /12

[Keen 10]

http://www.ispreview.ru/ipcalc.html

[Kucher2 122]

Тю, блин... попутал, извиняюсь. Не проснулся.

1111 1111 1111 0000 0000 0000

Значит, мыслю я правильно?

 

ALL 10.10.0.0/8 NULL
ALL 172.16.0.0/12 NULL
ALL 192.168.0.0/24 NULL

 

Значит rules будет таким?

А как быть с моей сеткой 10.0.0.0/24, или пофик, ведь будет считаться не именно трафик, приходящий из локалки, а трафик, бегающий между локалью и миром? Не париться?

[nightfly 1 239]

ваша 10.0.0.0/24 попадает в /8 - считаться не будет

 

могу предположить сделать перед этим

ALL 10.0.0.0/24 DIRx

 

хотя не уверен

[Kucher2 122]

ваша 10.0.0.0/24 попадает в /8 - считаться не будет

 

могу предположить сделать перед этим

ALL 10.0.0.0/24 DIRx

 

хотя не уверен

Предложение верно по своей сути, потому что в документации написано, что правила действуют по принципу первенства, как в IPFW.

Но в целом - я сейчас сделал так, как выше написал.

Вижу следующее:

1. Инет-трафик считается нормально. Скорее всего потому, что обмен трафиком происходит не между машинами локалки, а с миром. Так что всё ок.

2. Трафик на паритеты не считается! Я тут торрентом качнул прилично, всё работает как надо!

 

Большое спасибо!

[AoW 17]

тема старая, но я все же допишусь:

рулез:

 

ALL 0.0.0.0/0 DIR0

ALL 192.168.1.0/24 DIR1

ALL 10.2.1.3 DIR2

 

но вот старгазер не считает трафик, который приходит с 10,2,1,3, а заносит его в ДИР0.

В чем может быть трабла?

[nightfly 1 239]

в обратном порядке, по расширению маски

[madf 279]

Правила обрабатываются по порядку. Используется первое подходящее правило. Классификации подлежит "противоположный конец" соединения. Т.е. сперва определяется какому абону принадлежит трафик, а потом по второму IP происходит классификация. При указании

ALL 10.0.0.0/8 NULL

не будет считаться внутренний трафик в этой сети. Наружный трафик будет продолжать считаться, не смотря на то что один из "концов" находится в этой сети.