IPFW + NAT + Alias (проблеми)

[ruslyk123 0]

Доброго дня.

Зіткнувся з наступною проблемою:

Є блок з білих іпок 111.111.111.101/29

На одну білу іпку за задумкою 60 сірок іпок тобто блок 192.168.0.0/26

Все працює чудово, NAT працює, люди користуються інтернетом і радіють.

Тепер підмережа 192.168.0.0/26 закінчилася і настала пора добавити новий блок іпок 192.168.0.64/26 на іншу білу іпку... Вот тут і почалося найцікавіше...

Іпка 111.111.111.102/29 назначена в rc.conf на em0_alias0.

Питання полягає в наступному, як випустити підмережу 192.168.0.64/26 щоб натилася через alias0

Можливо хто вже стикався з подібною проблемою і підкаже  її вирішення. Дякую

Для справки  використовується віддалений NAS rscriptd на FreeBSD

[nightfly 1 245]

#!/bin/sh

EXT_IF="igb1"

#flush default NAT
ipfw delete 6000 6001
ipfw nat 1 delete

#White IP aliases config
ifconfig $EXT_IF alias 1.2.3.4 netmask 255.255.255.128
ifconfig $EXT_IF alias 1.2.3.5 netmask 255.255.255.128


#NAT instances configuration
ipfw nat 2 config log ip 1.2.3.4 reset same_ports
ipfw nat 3 config log ip 1.2.3.5 reset same_ports

#users nets->nat instances mapping
ipfw table 30 add 172.16.1.0/24 2
ipfw table 30 add 172.16.2.0/24 3

#white IPs -> nat instances mapping
ipfw table 31 add 1.2.3.4 2
ipfw table 31 add 1.2.3.5 3

#apply NAT rules to firewall
ipfw add 6000 nat tablearg ip from table\(30\) to not table\(9\) via $EXT_IF
ipfw add 6001 nat tablearg ip from any to table\(31\) via $EXT_IF

ну или типа того

[l1ght 377]

Вроде когда алисасы вешаешь им надо маску пилить 255.255.255.255.

Что-то вроде

cat /etc/rc.conf
ifconfig_igb0=" inet 10.0.0.1 netmask 255.255.255.240"
ifconfig_igb0_alias0=" inet 10.0.0.2 netmask 255.255.255.255"
ifconfig_igb0_alias1=" inet 10.0.0.3 netmask 255.255.255.255"

Ну лично у меня работает так

[nightfly 1 245]

  Цитата

 

Вроде когда алисасы вешаешь им надо маску пилить 255.255.255.255.

Да вообщем пофиг - главное, чтобы оно улетало на дефолт через правильный интерфейс.

Это просто частность для примера копипастнутая неведомо откуда.

[l1ght 377]

  В 28.05.2014 в 16:04, nightfly сказав:

 

  Цитата

 

Вроде когда алисасы вешаешь им надо маску пилить 255.255.255.255.

Да вообщем пофиг - главное, чтобы оно улетало на дефолт через правильный интерфейс.

Это просто частность для примера копипастнутая неведомо откуда.

 

Из моего rc.conf копипастнутая

Только айпишник левый

[nightfly 1 245]

  Цитата

 

Из моего rc.conf копипастнутая

То я про свой неочевидный пример

 

Энивей смотреть netstat -rn и смотреть via какой интерфейс оно должно улетать.

[major12 12]

А загалом можна і не вішати айпішки аліасами на інтерфейс.

ipfw nat пряцює і без того.

Головне щоб маршрутизація працювала правильно.

І вхідні пакети, які не "пронатились" вбивати фаєрволом чи роутингом в blackhole.

[ruslyk123 0]

Дякую всім хто допоміг вирішити дану проблему, все чудово працює. Хотілося б ще спитатися, як бути з аналогічною ситуацією але коли буде вже новий пул білих іп і відповідно новий шлюз, бо дане питання скоро стане досить актуальне.

[l1ght 377]

У тебя будет 2 пула?

Или просто поменяется текущие настройки?

[ruslyk123 0]

  В 29.05.2014 в 16:43, L1ght сказав:

У тебя будет 2 пула?

Или просто поменяется текущие настройки?

Так буде декілька пулів.... Але вже новий пул іпок буде приходити в влані. Можна ввжажати як 2 різних провайдера на один NAS приходить в потрібно їх пронатити для підмереж.

[l1ght 377]

Ну смотрите. Следующий пул придет тегированым сразу?

Значит просто прописываете что надо в rc.conf

Например

ifconfig_igb0.111= "123.123.123.11/29"

ifconfig_igb0.111_alias0= "123.123.123.12/32"

 

А дальше просто добавляете новый экземпляр ната.

ipfw nat 111 config ip 123.123.123.12 log reset

 

И натите в общем как всегда с учёт особенности роутов и интерфейсов.

[ruslyk123 0]

Тобто якось так? Вказувати шлюз безпосередньо в фаєрі?

$cmd table 9 add 1.1.1.1/32
$cmd table 9 add 1.1.1.2/32

____________________________

 

І да порадьте як можна завернути трафік не тільки на 88 порт, а ще й само-собою на 87 (для іншого пулу)

$cmd add 577 fwd 127.0.0.1,88 ip from to table\(47\) to not me dst-port 80 $ks