kvirtu 315 Опубликовано: 2012-02-02 20:29:20 Share Опубликовано: 2012-02-02 20:29:20 имеется freebsd 7.2. Своей AS и блока адресов нет. Есть блок IP-адресов от прова 1.1.1.1-1.1.1.5 маска 255.255.255.248. Нужно организовать выдачу клиенту реального айпишника, что бы его комп был виден в инете. Я выдал через pppoe клиенту адрес 1.1.1.5. Правила ipfw: ${fwcmd} nat 2 config ip 1.1.1.5 log same_ports ${fwcmd} add 65044 nat 2 ip from 1.1.1.5 to any ${fwcmd} add 65045 nat 2 ip from any to 1.1.1.5 У клиента инет бегает, но айпишник не виден в инете. Где грабли ? Ссылка на сообщение Поделиться на других сайтах
adeep 212 Опубликовано: 2012-02-02 20:40:50 Share Опубликовано: 2012-02-02 20:40:50 а зачем вы делаете нат на этот адрес? вам надо в mpd включить proxyarp и все будет бегать и так если блок адресов выдан на внешний ип адрес или ничего не трогать, если блок адресов сроучен на ваш сервер. Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубликовано: 2012-02-02 20:55:03 Автор Share Опубликовано: 2012-02-02 20:55:03 а зачем вы делаете нат на этот адрес? вам надо в mpd включить proxyarp и все будет бегать и так если блок адресов выдан на внешний ип адрес или ничего не трогать, если блок адресов сроучен на ваш сервер. Через НАТ (pppoe) шейпится скорость, посредством биллинга abills. Если без НАТа, то как все настроить ? где и что прописывать ? Ссылка на сообщение Поделиться на других сайтах
nightfly 1 245 Опубликовано: 2012-02-02 21:41:56 Share Опубликовано: 2012-02-02 21:41:56 Если без НАТа, то как все настроить ? где и что прописывать ? Позвольте вопросить - каким местом в вашем особенном мире соотносяться ipfw nat и скажем dummynet? ЗЫ нат реальных айпишек это уже занятно само по себе. Ссылка на сообщение Поделиться на других сайтах
Gang 5 Опубликовано: 2012-02-02 21:43:10 Share Опубликовано: 2012-02-02 21:43:10 а зачем вы делаете нат на этот адрес? вам надо в mpd включить proxyarp и все будет бегать и так если блок адресов выдан на внешний ип адрес или ничего не трогать, если блок адресов сроучен на ваш сервер. Через НАТ (pppoe) шейпится скорость, посредством биллинга abills. Если без НАТа, то как все настроить ? где и что прописывать ? Что-то у вас смешались в кучу и кони, и люди. нат, пппое, шейпер. Вам смаршрутизировали блок. У вас должно просто работать: достаточно разрешить прохождения пакетов с этих адресов через Ваш шлюз. Натить белые адреса не нужно. Я не знаю как у Вас шейпится, через сам mpd, или через dummynet и как организовано управление всем этим хозяйством в биллинге, так что посоветовать что-то конкрнетно сложно ) Для начала добавьте руками просто : ${fwcmd} add номер allow ip from 1.1.1.5 to any ${fwcmd} add номер allow ip from any to 1.1.1.5 P.S.: Сайт Вашей сети порадовал) Ссылка на сообщение Поделиться на других сайтах
Kto To 602 Опубликовано: 2012-02-02 22:52:22 Share Опубликовано: 2012-02-02 22:52:22 а зачем вы делаете нат на этот адрес? вам надо в mpd включить proxyarp и все будет бегать и так если блок адресов выдан на внешний ип адрес или ничего не трогать, если блок адресов сроучен на ваш сервер. Через НАТ (pppoe) шейпится скорость, посредством биллинга abills. Если без НАТа, то как все настроить ? где и что прописывать ? Вы через нат шейпите скорость? Оригинально... Ссылка на сообщение Поделиться на других сайтах
Masyar 124 Опубликовано: 2012-02-03 05:57:46 Share Опубликовано: 2012-02-03 05:57:46 http://abills.net.ua/wiki/doku.php/abills:docs:manual:install_freebsd:ru http://abills.net.ua/wiki/doku.php/abills:docs:manual:freebsd_dummynet у меня настроены тарифные планы с ограничением скорости с передачей радиус-параметров(в словари радиуса добавлять по инструкции). для организации псевдодинамического шейпинга(смена скорости клиента "на лету") следует использовать скрипт, вносящий изменения в параметры сессии по крону. на форуме абиллса это обсуждалось не раз. или купить абиллс за деньги. ну и с НАТом Вы погорячились, само собой. Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубликовано: 2012-02-03 08:44:19 Автор Share Опубликовано: 2012-02-03 08:44:19 Если без НАТа, то как все настроить ? где и что прописывать ? Позвольте вопросить - каким местом в вашем особенном мире соотносяться ipfw nat и скажем dummynet? ЗЫ нат реальных айпишек это уже занятно само по себе. Сеть у меня пока небольшая , регить свою AS и блок адресов, пока не вижу смысла. Использую Kernel NAT для выхода пользователей в инет. Свичи на домах пока "тупые", и как в данном случае шейпить скорость для абонента ? Только через виртуальное соединение и приходится шейпить реальные адреса . Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубликовано: 2012-02-03 08:50:24 Автор Share Опубликовано: 2012-02-03 08:50:24 а зачем вы делаете нат на этот адрес? вам надо в mpd включить proxyarp и все будет бегать и так если блок адресов выдан на внешний ип адрес или ничего не трогать, если блок адресов сроучен на ваш сервер. Через НАТ (pppoe) шейпится скорость, посредством биллинга abills. Если без НАТа, то как все настроить ? где и что прописывать ? Что-то у вас смешались в кучу и кони, и люди. нат, пппое, шейпер. Вам смаршрутизировали блок. У вас должно просто работать: достаточно разрешить прохождения пакетов с этих адресов через Ваш шлюз. Натить белые адреса не нужно. Я не знаю как у Вас шейпится, через сам mpd, или через dummynet и как организовано управление всем этим хозяйством в биллинге, так что посоветовать что-то конкрнетно сложно ) Для начала добавьте руками просто : ${fwcmd} add номер allow ip from 1.1.1.5 to any ${fwcmd} add номер allow ip from any to 1.1.1.5 P.S.: Сайт Вашей сети порадовал) по этим правилам , все пашет ${fwcmd} add номер allow ip from 1.1.1.5 to any ${fwcmd} add номер allow ip from any to 1.1.1.5 Но, при этом у клиента не ограничивается скорость (. Сайт совсем плох ? Что не так ? Выслушаю любую критику, будет переделывать ... Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубликовано: 2012-02-03 08:58:48 Автор Share Опубликовано: 2012-02-03 08:58:48 http://abills.net.ua...tall_freebsd:ru http://abills.net.ua...reebsd_dummynet у меня настроены тарифные планы с ограничением скорости с передачей радиус-параметров(в словари радиуса добавлять по инструкции). для организации псевдодинамического шейпинга(смена скорости клиента "на лету") следует использовать скрипт, вносящий изменения в параметры сессии по крону. на форуме абиллса это обсуждалось не раз. или купить абиллс за деньги. ну и с НАТом Вы погорячились, само собой. Использую kernel NAT, скорее всего мне надо будет настроить модуль IPN. Ссылка на сообщение Поделиться на других сайтах
nightfly 1 245 Опубликовано: 2012-02-03 09:17:16 Share Опубликовано: 2012-02-03 09:17:16 Свичи на домах пока "тупые", и как в данном случае шейпить скорость для абонента ? Только через виртуальное соединение и приходится шейпить реальные адреса . сначала вам нат шейпить мешает, потом свичи.... занятно Но, при этом у клиента не ограничивается скорость (. ...теперь вы при помощи allow на шейп надеетесь.... Сайт совсем плох ? да не, просто привет из 90-х. Резюмирую: Мне действительно стыдно если вы считаете себя администратором. Я всегда считал что бегло прочитать man dummynet и man ipfw не должно быть проблемой. Если даже это вызывает затруднения, могу порекомендовать http://bit.ly/zfLPqV Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубликовано: 2012-02-03 09:48:37 Автор Share Опубликовано: 2012-02-03 09:48:37 Свичи на домах пока "тупые", и как в данном случае шейпить скорость для абонента ? Только через виртуальное соединение и приходится шейпить реальные адреса . сначала вам нат шейпить мешает, потом свичи.... занятно Но, при этом у клиента не ограничивается скорость (. ...теперь вы при помощи allow на шейп надеетесь.... Сайт совсем плох ? да не, просто привет из 90-х. Резюмирую: Мне действительно стыдно если вы считаете себя администратором. Я всегда считал что бегло прочитать man dummynet и man ipfw не должно быть проблемой. Если даже это вызывает затруднения, могу порекомендовать http://bit.ly/zfLPqV Учится никогда не стыдно, и все все знать тоже невозможно. И критика бывает разной: У Вас она выглядит так: Как ты не знаешь этого ? Значит ты не админ уже. А Вы все сразу знали и не учились даже ? И не у кого не спрашивали ничего ??? ДА, я не все еще не знаю, но есть стремление узнать больше и сделать лучше. Не было потребности у меня до этого в реальных адресах, и не интересовался я этим. Вот пришло время и надо вникать. Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубликовано: 2012-02-03 09:56:02 Автор Share Опубликовано: 2012-02-03 09:56:02 В общем , Всем спасибо за критику и конструктив ! С НАТом реальных адресов я конечно перемудрил. А сделал так: Клиенту через pppoe выдается реальник 1.1.1.5 В правила добавил: ${fwcmd} add номер allow ip from 1.1.1.5 to any ${fwcmd} add номер allow ip from any to 1.1.1.5 Сайт конечно может и не красив, делал его сам на чистом HTML. Ссылка на сообщение Поделиться на других сайтах
nightfly 1 245 Опубликовано: 2012-02-03 09:57:12 Share Опубликовано: 2012-02-03 09:57:12 Учится никогда не стыдно, и все все знать тоже невозможно. это самоочевидно И критика бывает разной: У Вас она выглядит так: Как ты не знаешь этого ? Значит ты не админ уже. У меня она никак не выглядит. Констатация фактов - не есть критика по определению. А Вы все сразу знали и не учились даже ? И не у кого не спрашивали ничего ??? Благо речь не о моей персоне, в любом случае отлично (я даже не знаю где лучше и проще чем в freebsd) документированные азы загуглить не составляет труда. Даже не поленился, посчитал - dummynet (см. гугление) упоминается на текущей странице ровно 8 (теперь уже 9 раз). Да я знаю о altq но учитывая использование ipfw а не pf лучше его не упоминать в данном контексте. ДА, я не все еще не знаю, но есть стремление узнать больше и сделать лучше. Вот пришло время и надо вникать. ну это типа хорошо, че Не было потребности у меня до этого в реальных адресах, и не интересовался я этим. ну вот, так хорошо начали и так закончили.... А раскажите пожалуйста чем в вашем особенном мире отличается шейп реальных и нереальных айпишек? цветом да? Я бы лично с глубочайшим интересом проникся. Не стесняйтесь. Ссылка на сообщение Поделиться на других сайтах
KaYot 3 730 Опубликовано: 2012-02-03 09:59:25 Share Опубликовано: 2012-02-03 09:59:25 Реальные шейпить как раз проще, NAT не мешает. Ссылка на сообщение Поделиться на других сайтах
Gang 5 Опубликовано: 2012-02-03 10:02:24 Share Опубликовано: 2012-02-03 10:02:24 Вам выше подсказали, что если пакет попадает под правило allow и deny, он дальше не идет по цепочке правил. Беглое гугление по абиллс ткнуло меня меня на мануалы, где предлагают шейпить посредством ng_car, передавая радиус атрибуты . Предполагаю, что у Вас именно так, или все-таки dummynet ? Покажите ipfw list, что ли Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубликовано: 2012-02-03 10:09:09 Автор Share Опубликовано: 2012-02-03 10:09:09 Вам выше подсказали, что если пакет попадает под правило allow и deny, он дальше не идет по цепочке правил. Беглое гугление по абиллс ткнуло меня меня на мануалы, где предлагают шейпить посредством ng_car, передавая радиус атрибуты . Предполагаю, что у Вас именно так, или все-таки dummynet ? Покажите ipfw list, что ли ng_car Ссылка на сообщение Поделиться на других сайтах
Gang 5 Опубликовано: 2012-02-03 10:10:50 Share Опубликовано: 2012-02-03 10:10:50 ng_car Круто! Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубликовано: 2012-02-03 10:11:18 Автор Share Опубликовано: 2012-02-03 10:11:18 Учится никогда не стыдно, и все все знать тоже невозможно. это самоочевидно И критика бывает разной: У Вас она выглядит так: Как ты не знаешь этого ? Значит ты не админ уже. У меня она никак не выглядит. Констатация фактов - не есть критика по определению. А Вы все сразу знали и не учились даже ? И не у кого не спрашивали ничего ??? Благо речь не о моей персоне, в любом случае отлично (я даже не знаю где лучше и проще чем в freebsd) документированные азы загуглить не составляет труда. Даже не поленился, посчитал - dummynet (см. гугление) упоминается на текущей странице ровно 8 (теперь уже 9 раз). Да я знаю о altq но учитывая использование ipfw а не pf лучше его не упоминать в данном контексте. ДА, я не все еще не знаю, но есть стремление узнать больше и сделать лучше. Вот пришло время и надо вникать. ну это типа хорошо, че Не было потребности у меня до этого в реальных адресах, и не интересовался я этим. ну вот, так хорошо начали и так закончили.... А раскажите пожалуйста чем в вашем особенном мире отличается шейп реальных и нереальных айпишек? цветом да? Я бы лично с глубочайшим интересом проникся. Не стесняйтесь. продолжаете язвить, ну да ладно. Ссылка на сообщение Поделиться на других сайтах
nightfly 1 245 Опубликовано: 2012-02-03 10:11:58 Share Опубликовано: 2012-02-03 10:11:58 Вам выше подсказали, что если пакет попадает под правило allow и deny, он дальше не идет по цепочке правил. есть же net.inet.ip.fw.one_pass продолжаете язвить, ну да ладно. нет, мне действительно интересно - никогда же не поздно учиться, да? Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубликовано: 2012-02-03 10:14:16 Автор Share Опубликовано: 2012-02-03 10:14:16 Вам выше подсказали, что если пакет попадает под правило allow и deny, он дальше не идет по цепочке правил. есть же net.inet.ip.fw.one_pass продолжаете язвить, ну да ладно. нет, мне действительно интересно - никогда же не поздно учиться, да? Использую net.inet.ip.fw.one_pass=0, т.к. заведено на сервак 2 разных аплинка. Ссылка на сообщение Поделиться на других сайтах
Gang 5 Опубликовано: 2012-02-03 10:14:41 Share Опубликовано: 2012-02-03 10:14:41 Вам выше подсказали, что если пакет попадает под правило allow и deny, он дальше не идет по цепочке правил. есть же net.inet.ip.fw.one_pass продолжаете язвить, ну да ладно. нет, мне действительно интересно - никогда же не поздно учиться, да? Осведомлен. Но нутром чую, что у тописктартера он =1 UPD: Поспешил ) Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубликовано: 2012-02-03 10:17:14 Автор Share Опубликовано: 2012-02-03 10:17:14 Вам выше подсказали, что если пакет попадает под правило allow и deny, он дальше не идет по цепочке правил. есть же net.inet.ip.fw.one_pass продолжаете язвить, ну да ладно. нет, мне действительно интересно - никогда же не поздно учиться, да? Осведомлен. Но нутром чую, что у тописктартера он =1 UPD: Поспешил ) как раз 0 Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВойти
Уже зарегистрированы? Войдите здесь.
Войти сейчас