Перейти до

IPFW + NAT + Alias (проблеми)


Рекомендованные сообщения

Доброго дня.

Зіткнувся з наступною проблемою:

Є блок з білих іпок 111.111.111.101/29

На одну білу іпку за задумкою 60 сірок іпок тобто блок 192.168.0.0/26

Все працює чудово, NAT працює, люди користуються інтернетом і радіють.

Тепер підмережа 192.168.0.0/26 закінчилася і настала пора добавити новий блок іпок 192.168.0.64/26 на іншу білу іпку... Вот тут і почалося найцікавіше...

Іпка 111.111.111.102/29 назначена в rc.conf на em0_alias0.

Питання полягає в наступному, як випустити підмережу 192.168.0.64/26 щоб натилася через alias0

Можливо хто вже стикався з подібною проблемою і підкаже  її вирішення. Дякую

Для справки  використовується віддалений NAS rscriptd на FreeBSD

Ссылка на сообщение
Поделиться на других сайтах
#!/bin/sh

EXT_IF="igb1"

#flush default NAT
ipfw delete 6000 6001
ipfw nat 1 delete

#White IP aliases config
ifconfig $EXT_IF alias 1.2.3.4 netmask 255.255.255.128
ifconfig $EXT_IF alias 1.2.3.5 netmask 255.255.255.128


#NAT instances configuration
ipfw nat 2 config log ip 1.2.3.4 reset same_ports
ipfw nat 3 config log ip 1.2.3.5 reset same_ports

#users nets->nat instances mapping
ipfw table 30 add 172.16.1.0/24 2
ipfw table 30 add 172.16.2.0/24 3

#white IPs -> nat instances mapping
ipfw table 31 add 1.2.3.4 2
ipfw table 31 add 1.2.3.5 3

#apply NAT rules to firewall
ipfw add 6000 nat tablearg ip from table\(30\) to not table\(9\) via $EXT_IF
ipfw add 6001 nat tablearg ip from any to table\(31\) via $EXT_IF

ну или типа того

Ссылка на сообщение
Поделиться на других сайтах

Вроде когда алисасы вешаешь им надо маску пилить 255.255.255.255.

Что-то вроде

cat /etc/rc.conf
ifconfig_igb0=" inet 10.0.0.1 netmask 255.255.255.240"
ifconfig_igb0_alias0=" inet 10.0.0.2 netmask 255.255.255.255"
ifconfig_igb0_alias1=" inet 10.0.0.3 netmask 255.255.255.255"

Ну лично у меня работает так :)

Ссылка на сообщение
Поделиться на других сайтах

 

Вроде когда алисасы вешаешь им надо маску пилить 255.255.255.255.

Да вообщем пофиг - главное, чтобы оно улетало на дефолт через правильный интерфейс.

Это просто частность для примера копипастнутая неведомо откуда.

Ссылка на сообщение
Поделиться на других сайтах

 

 

Вроде когда алисасы вешаешь им надо маску пилить 255.255.255.255.

Да вообщем пофиг - главное, чтобы оно улетало на дефолт через правильный интерфейс.

Это просто частность для примера копипастнутая неведомо откуда.

 

Из моего rc.conf копипастнутая :)

Только айпишник левый :)

Ссылка на сообщение
Поделиться на других сайтах

 

Из моего rc.conf копипастнутая :)

То я про свой неочевидный пример :)

 

Энивей смотреть netstat -rn и смотреть via какой интерфейс оно должно улетать.

Ссылка на сообщение
Поделиться на других сайтах

А загалом можна і не вішати айпішки аліасами на інтерфейс.

ipfw nat пряцює і без того.

Головне щоб маршрутизація працювала правильно.

І вхідні пакети, які не "пронатились" вбивати фаєрволом чи роутингом в blackhole.

Ссылка на сообщение
Поделиться на других сайтах

Дякую всім хто допоміг вирішити дану проблему, все чудово працює. Хотілося б ще спитатися, як бути з аналогічною ситуацією але коли буде вже новий пул білих іп і відповідно новий шлюз, бо дане питання скоро стане досить актуальне.

Ссылка на сообщение
Поделиться на других сайтах

У тебя будет 2 пула?

Или просто поменяется текущие настройки?

Так буде декілька пулів.... Але вже новий пул іпок буде приходити в влані. Можна ввжажати як 2 різних провайдера на один NAS приходить в потрібно їх пронатити для підмереж.

Ссылка на сообщение
Поделиться на других сайтах

Ну смотрите. Следующий пул придет тегированым сразу?

Значит просто прописываете что надо в rc.conf

Например

ifconfig_igb0.111= "123.123.123.11/29"

ifconfig_igb0.111_alias0= "123.123.123.12/32"

 

А дальше просто добавляете новый экземпляр ната.

ipfw nat 111 config ip 123.123.123.12 log reset

 

И натите в общем как всегда с учёт особенности роутов и интерфейсов.

Ссылка на сообщение
Поделиться на других сайтах

Тобто якось так? Вказувати шлюз безпосередньо в фаєрі?

$cmd table 9 add 1.1.1.1/32
$cmd table 9 add 1.1.1.2/32

____________________________

 

І да порадьте як можна завернути трафік не тільки на 88 порт, а ще й само-собою на 87 (для іншого пулу)

$cmd add 577 fwd 127.0.0.1,88 ip from to table\(47\) to not me dst-port 80 $ks
 

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від Sat_Odessa
      Помогите решить задачу:
      Есть 2 роутера с белыми адресами: TPLink и MikroTik. Необходима переодическая настройка (открытие/закрытие портов). С Mikrotik-oм никаких проблем нет, так как инструкций в интернете вагон и маленькая тележка. А вот с TPLink-ом загвоздка. Чтобы не открывать доступ к нему на весь мир, доступ веб-интерфейсу TPLink-а открыт только для адреса Mikrotik-а. Соответственно из локальной сети Mikrotik-а я могу попасть в настройки TPLink-а. Но иногда нужен удаленный доступ к TPLink-у из других мест.
       
      Можно ли как-то открыть на Mikrotik-е внешний порт, чтобы весь трафик из интернета на этот порт перенаправлялся на внешний IP-адрес TPLink-а? Чтобы для TPLink-а это выглядело так, как будто я подключаюсь к нему с IP-адреса Mikrotik-а.
    • Від Інет.укр
      Продам MS-MIC-16G б.у з гарантією 1міс.
      вартість 65 000грн 
      Варіанти оплати:
      рахунок від фоп крипта USDT на карту монобанк p.s 
       


    • Від Lux-Domofon
      Доброго дня, потріна допомога в налаштуванні sip server Asterisk, для ip домофонії. Виникла проблема з NAT, а також з  DTMF для відкривання дверей. 
    • Від Інет.укр
      Продам 3шт MS-MIC-16G ціна $4600 за 3шт.
      Гарантія 30діб
      Можливо рахунок від ФОП
    • Від renegade310
      Доброго дня.
      Маємо коробку A10 3030s.
      Прошивка:
               64-bit Advanced Core OS (ACOS) version 4.1.4-GR1-P5, build 81 (Sep-08-2020,09:32)           Booted from Hard Disk primary image           Number of control CPUs is set to 1           aFleX version: 2.0.0           GUI primary image (default) version 4_1_4-GR1-P5-4_1_4-gr1-p5-38           GUI secondary image version 4_1_4-GR1-P5-4_1_4-gr1-p5-38           aXAPI version: 3.0           Cylance version: N/A           Hard Disk primary image (default) version 4.1.4-GR1-P5, build 81           Hard Disk secondary image version 4.1.4-GR1-P5, build 81           Last configuration saved at Feb-9-2023, 18:37           Hardware: 8 CPUs(Stepping 9), Single 74G drive, Free storage is 34G           Total System Memory 16350 Mbytes, Free Memory 7692 Mbytes           Hardware Manufacturing Code: 175211           Current time is Feb-11-2023, 19:01           The system has been up 21 days, 1 hour, 9 minutes  
      І недавно сталася проблема що розвалився lag на ньому і в логах було таке:
       
      Feb 09 2023 16:54:12 Notice      [Router]:Interface(s)  ethernet 9,  removed from aggregator po2 Feb 09 2023 16:54:12 Notice      [Router]:Interface(s)  ethernet 10,  removed from aggregator po2 Feb 09 2023 16:54:12 Notice      [Router]:Interface(s)  ethernet 11,  removed from aggregator po1 Feb 09 2023 16:54:12 Notice      [Router]:Interface(s)  ethernet 12,  removed from aggregator po1 Feb 09 2023 16:54:11 Error       [Fail Safe]:Failed in thread LWP 6361 Feb 09 2023 16:54:11 Error       [Fail Safe]:Failed in thread LWP 6338 Feb 09 2023 16:54:11 Error       [Fail Safe]:Failed in thread LWP 6340 Feb 09 2023 16:54:11 Error       [Fail Safe]:Failed in thread 0x6f09149 Feb 09 2023 16:54:11 Error       [Fail Safe]:FailSafe timestamp 4704431868, last update time 409464572  Feb 09 2023 16:54:11 Error       [Fail Safe]:FailSafe detected problem in ALB threads. Feb 09 2023 16:54:11 Warning     [AXMON]:Detected problem in Health Monitor DataCPU1 (LWP 6216). (Last counter was -1772775275 at time 4704431868 bit 7). Feb 09 2023 16:54:11 Warning     [AXMON]:Detected problem in Health Monitor DataCPU4 (LWP 6220). (Last counter was -1460486145 at time 4704431868 bit 6). Feb 09 2023 16:54:11 Warning     [AXMON]:Detected problem in Health Monitor DataCPU0 (LWP 6215). (Last counter was -974207122 at time 4704431868 bit 5). Feb 09 2023 16:54:11 Warning     [AXMON]:Detected problem in Health Monitor DataCPU3 (LWP 6219). (Last counter was 1747921038 at time 4704431868 bit 4). Feb 09 2023 16:54:11 Warning     [AXMON]:Detected problem in Health Monitor DataCPU2 (LWP 6217). (Last counter was -1737089530 at time 4704431868 bit 3). Feb 09 2023 16:54:10 Warning     [AXMON]:Detected problem in Health Monitor DataCPU1 (LWP 6216). (Last counter was -1772775275 at time 4704431789 bit 7). Feb 09 2023 16:54:10 Warning     [AXMON]:Detected problem in Health Monitor DataCPU4 (LWP 6220). (Last counter was -1460486145 at time 4704431789 bit 6). Feb 09 2023 16:54:10 Warning     [AXMON]:Detected problem in Health Monitor DataCPU0 (LWP 6215). (Last counter was -974207122 at time 4704431789 bit 5). Feb 09 2023 16:54:10 Warning     [AXMON]:Detected problem in Health Monitor DataCPU3 (LWP 6219). (Last counter was 1747921038 at time 4704431789 bit 4). Feb 09 2023 16:54:10 Warning     [AXMON]:Detected problem in Health Monitor DataCPU2 (LWP 6217). (Last counter was -1737089530 at time 4704431789 bit 3). Feb 09 2023 16:54:10 Warning     [AXMON]:Detected problem in Health Monitor DataCPU1 (LWP 6216). (Last counter was -1772775275 at time 4704431713 bit 7). Feb 09 2023 16:54:10 Warning     [AXMON]:Detected problem in Health Monitor DataCPU4 (LWP 6220). (Last counter was -1460486145 at time 4704431713 bit 6). Feb 09 2023 16:54:10 Warning     [AXMON]:Detected problem in Health Monitor DataCPU0 (LWP 6215). (Last counter was -974207122 at time 4704431713 bit 5). Feb 09 2023 16:54:10 Warning     [AXMON]:Detected problem in Health Monitor DataCPU3 (LWP 6219). (Last counter was 1747921038 at time 4704431712 bit 4). Feb 09 2023 16:54:10 Warning     [AXMON]:Detected problem in Health Monitor DataCPU1 (LWP 6216). (Last counter was -1772775275 at time 4704431636 bit 7). Feb 09 2023 16:54:10 Warning     [AXMON]:Detected problem in Health Monitor DataCPU4 (LWP 6220). (Last counter was -1460486145 at time 4704431636 bit 6). Feb 09 2023 16:54:10 Warning     [AXMON]:Detected problem in Health Monitor DataCPU0 (LWP 6215). (Last counter was -974207122 at time 4704431636 bit 5). Feb 09 2023 16:54:10 Warning     [AXMON]:Detected problem in Health Monitor DataCPU3 (LWP 6219). (Last counter was 1747921038 at time 4704431636 bit 4). Feb 09 2023 16:54:09 Warning     [AXMON]:Detected problem in Health Monitor DataCPU1 (LWP 6216). (Last counter was -1772775275 at time 4704431556 bit 7). Feb 09 2023 16:54:09 Warning     [AXMON]:Detected problem in Health Monitor DataCPU0 (LWP 6215). (Last counter was -974207122 at time 4704431556 bit 5). Feb 09 2023 16:54:09 Warning     [AXMON]:Detected problem in Health Monitor DataCPU3 (LWP 6219). (Last counter was 1747921038 at time 4704431552 bit 4).  
      Проблема була тимчасова, буквально за хвилину лаг знову зібрався і все працює.
      В чому може бути проблема?
×
×
  • Створити нове...