Белые IP выдача пользователям

[Alex9959 1]

Добрый день. Нуждаюсь в вашей подсказке. 

Возникла необходимость прокинуть белые IP своим пользователям во внутреннюю сеть. Подскажите каи правильно это сделать ? прочитал документацию кроме строчек

 

Q: Как выдавать пользователям реальные IP?
A: Точно так же как и нереальные, они ничем не отличаются.

 

ничего не нашел :-)

 

на форуме тоже не по глазам :-( есть темы похожие но немного не то.

 

Rc.conf прилагается (как сейчас это все дело работает с серыми IP)

 

после выдачи пула из 8 адресов

как я понимаю мне надо добавить строку 

 

ifconfig_igb0_alias0="inet ZZZ.ZZZ.ZZZ.ZZZ netmask OOO.OOO.OOO.OOO" 

где igb0 это мой внешний сетевой интерфейс 

ZZZ.ZZZ.ZZZ.ZZZ            - первый IP из этого пула

OOO.OOO.OOO.OOO   - маска для этого IP

 

далее через веб интерфейс добавить сеть с услугами и выдавать пользователю IP из нового пула ... или что то не то ? 

получается надо что бы скорость на белых IP резалась согласно тарифу а в NAT таблицу этот IP не попадал.

 

как то кривовато объяснил но в целом вроди бы понятно ))) заранее спасибо большое.

rc.txt

[madf 279]

А разве той пары строчек недостаточно? Они целиком и полностью отвечают на ваш вопрос.

[Alex9959 1]

ну как то не совсем ... ))) 

[nightfly 1,252]

1. Под реальные айпишки зарезервирована 10 табличка, см. документацию по NAS rscripd.

2. Просто дорисуйте ее а firewall.conf по образцу второй, ессно за вычетом NAT-а.

3. Думаю понятно, что айпишка алиаса должна попадать в сеть/cidr но не должна присутствовать в диапазоне "от-до", за вычетом айпишек вида х.х.х.1 - они юзерам принципиально не выдаются, с надеждой, что там "мы".

4. И да - ничем они не отличаются.

[Constantine.Kazakoff 26]

То ли я дурак, то ли лыжи не едут.

Табличка создаётся, юзер туда попадает, но толку мало.

Кто-нибудь может поделиться примером реально работающего firewall.conf с добавленной 10-й табличкой?

[nightfly 1,252]

То ли я дурак, то ли лыжи не едут.

Табличка создаётся, юзер туда попадает, но толку мало.

Кто-нибудь может поделиться примером реально работающего firewall.conf с добавленной 10-й табличкой?

1. Смотрим глазами: https://github.com/nightflyza/UBinstaller/blob/master/configs/firewall.conf

2. Пользуемся логикой:

# Networks define
${FwCMD} table 10 add 1.2.3.4/24

# default block policy
${FwCMD} add 65533 deny all from table\(10\) to any via ${LAN_IF}
${FwCMD} add 65534 deny all from any to table\(10\) via ${LAN_IF}

3. Ясно, что нужно предусмотреть, чтобы для обратного трафика к реальным айпишкам, скипался НАТ.

[Constantine.Kazakoff 26]

1. Смотрим глазами: https://github.com/n...s/firewall.conf

2. Пользуемся логикой:

 

1. Смотрел.

2. Пользовался.

Итог - юзер не пингует даже основной шлюз.

Видать, что-то я где-то перемудрил. Буду разбираться.

[chinhis 0]

1. Прописати аліас відповідної мережі білих ІР на мережевку яка дивиться на юзерів.

2. Загнати цю мережу в фаєр в таблицю 10 , (як описав nightfly), а також добавити відповідні правила в фаєр для табл 10.

3. Створити цю мережу в убілінг, у відповідності як добавляються прості (сірі) мережі

4. Створити відповідний персональний ДХЦП шаблон для цієї мережі в убілінг, якшо мережа білих ІР не /24

[kissbohda 23]

привіт ,хочу на стенді прокинути айпі з роутрера через білінг на тестовий комп,  застрягнув на першому пункті 1.

 

 

1. Прописати аліас відповідної мережі білих ІР на мережевку яка дивиться на юзерів.

коли в rc.conf додаю рядок ifconfig_em0_alias1="192.168.2.1/24"
при : 

hostname="www"

ifconfig_em1="192.168.2.110/24"

defaultrouter="192.168.2.1" 

ifconfig_em0="172.16.0.1/24"

ifconfig_em0_alias0="172.16.32.1/24"
 

 

sshd_enable="YES"

dumpdev="AUTO"

тоді ізолюється сам білінг ,та не має на ньому інтернету . 
підкажіть щось 

Edited 2015-06-23 19:03:44 by kissbohda

[nightfly 1,252]

коли в rc.conf додаю рядок ifconfig_em0_alias1="192.168.2.1/24"

Шота я не виджу, аби то було білов мережов. Тай кумедно то фист виглядає, як ви намагаєтесі ото на самого себе дефолтраута вказати.

 

 

тоді ізолюється сам білінг ,та не має на ньому інтернету .

Ну то коню сі єсно - в вас однакові мережі, з однаковов масков, на одному тазіку висєти хочут. У яку дірку питаєссі, мав бис трафік плигати? Га? Відов в дірку конє?

 

 

підкажіть щось

Edited 2015-06-23 19:38:25 by nightfly

[skybetik 134]

Делали ? 

/etc/rc.d/netif restart  

после 

/etc/rc.d/routing restart 

ну и да нет  ifconfig_em0_alias1="192.168.2.1/24" 

[nightfly 1,252]

Делали ? 

/etc/rc.d/netif restart  

после 

/etc/rc.d/routing restart 

ну и да нет  ifconfig_em0_alias1="192.168.2.1/24" 

А наxeр это надо, и чем это поможет, если он дефолтраут сам на себя нарисовал?

[skybetik 134]

не ну хе может он для примера чтоб не палить айпи ?? 

[nightfly 1,252]

не ну хе может он для примера чтоб не палить айпи ?? 

У меня почему-то есть чувство, что оно так там дословно и нарисовано. Что вполне согласуется, с "та не має на ньому інтернету".

Я слишком долго наблюдаю за этим форумом, чтобы верить в добро и поняш.

 

[BUM 245]

Ну то коню сі єсно - в вас однакові мережі, з однаковов масков, на одному тазіку висєти хочут. У яку дірку питаєссі, мав бис трафік плигати? Га? Відов в дірку конє?

 

красава!

Edited 2015-06-24 05:39:38 by BUM

[kissbohda 23]

Ну то коню сі єсно - в вас однакові мережі, з однаковов масков, на одному тазіку висєти хочут. У яку дірку питаєссі, мав бис трафік плигати? Га? Відов в дірку конє?

 

красава!

а то всьо добре, не буду сі мучити, най сі кінь мучит , не буду робити мережеве збочення, однакові сети на двох мережевих  .

[nightfly 1,252]

Йо. Фист вибір!

 

Вйо, включеєм логіку... навіщо якусь айпішку аліясом вішати на межереву, що дивитсі в бік вашої громади?

[kissbohda 23]

це в цілях навчання, хочу типу біле ip (припустимо 192.168.2.99) перекинути на тестовий комп, сервер з білінгом в тій самій мережі (192.168.2.1/24). айпі сервера =  ip 192.168.2.110/24 .
і громада не страждає бо роблю це на стенді. 
 

[nightfly 1,252]

 

 

це в цілях навчання, хочу типу біле ip (припустимо 192.168.2.99)

Ні, ви хочете біле IP 4.3.2.1 і в вас є їх декілька, скажімо маскою /26

 

 

 

перекинути на тестовий комп, сервер з білінгом в тій самій мережі (192.168.2.1/24)

ваш добрий провайдер, котрий насипав вам айпішок (про свій AS+PI очевидно не йдеться) малює зверху вниз на оцей ваш тазік статикою раут  наступного вигляду:

route add 4.3.2.1/26 192.168.2.1

після чого, ви користуючись банальною логікою, берете першу ж айпішку з цеї маски і вішаєте собі її аліасом, це буде дефолтраут для вашої громади (і я щиро сподіваюсь, що em0 дивиться на них):

 

 

ifconfig_em0_alias1="4.3.2.1/26"

 

далі додаєте собі в довіднику "мережі та послуги" мережку вигляду:

Початкова ІР: 4.3.2.0

Остання ІР: 4.3.2.62

Мережа/CIDR: 4.3.2.0/26

 

та вішаєте на цю мережу послугу типу "рєальні айпішечки".

 

В довіднику "Сервер DHCP" вішаєте на цю мережу щось з конфігом типу

subnet 4.3.2.0 netmask 255.255.255.192 {
 default-lease-time 3600;
 option domain-name "isp";
 option subnet-mask 255.255.255.192;
 option routers 4.3.2.1;
include "/usr/local/etc/multinet/{HOSTS}";
}

далі дивитесь, що там по фаєру, як описано вище, та радієте життю, просто перемикаючи потрібним юзерам сервіс.

 

P.S. Всі інші стрьомні штуки, які ви можете собі напридумувати, працювати не будуть. Забудьте.

[l1ght 377]

ще забув раут для 192.168.2.1

route add 4.3.2.1/26 192.168.2.110

[nightfly 1,252]

 

ще забув раут для 192.168.2.1

route add 4.3.2.1/26 192.168.2.110

А та, то я помилився. Воно ж ззовні приходить.

[USD 31]

quagga

[kissbohda 23]

P.S. Всі інші стрьомні штуки, які ви можете собі напридумувати, працювати не будуть. Забудьте.

 

дякую , буду старатися як найменше стрьомного придумувати 

[desmond 22]

Всім привіт! Не буду нову тему створювати по білих IP запитаю тут, ніби все робив як вище вказано, але нічого не завелося

x.x.x.144/29 виділив провайдер

rc.conf

 

ifconfig_bge0="inet x.x.x.147 netmask 255.255.255.248"

defaultrouter="x.x.x.145"

gateway_enable="YES"

 

ifconfig_bge1="UP"

cloned_interfaces="vlan200"

ifconfig_vlan200="inet 172.16.2.1 netmask 255.255.255.0 vlan 200 vlandev bge1" # LAN інтерфейс

ifconfig_vlan200_alias0="inet x.x.x.148 netmask 255.255.255.248" # Аліас в сторону абонентів

 

ifconfig_re0="inet 192.168.50.3/24" # менеджмент інтерфейс

 

# firewall command

FwCMD="/sbin/ipfw -q"

 

${FwCMD} -f flush

 

# Networks define

${FwCMD} table 2 add 172.16.2.0/24

${FwCMD} table 9 add 172.16.2.0/24

${FwCMD} table 9 add x.x.x.147/32

${FwCMD} table 10 add x.x.x.144/29

 

#NAT

${FwCMD} nat 1 config log if bge0 reset same_ports

${FwCMD} add 6000 nat 1 ip from table\(2\) to not table\(9\) via bge0

${FwCMD} add 6001 nat 1 ip from any to x.x.x.147 via bge0

# in 6001 rule must be my external IP

 

#Shape

${FwCMD} add 12001 pipe tablearg ip from any to table\(4\) via bge1 out

${FwCMD} add 12000 pipe tablearg ip from table\(3\) to any via bge1 in

 

 

#security

${FwCMD} add 3 deny ip6 from any to any

${FwCMD} add 101 allow all from 192.168.50.1 to any

${FwCMD} add 101 allow all from any to 192.168.50.1

 

 

# allow access to my http for all

${FwCMD} add  62000 allow tcp from any to me dst-port 80

${FwCMD} add  62000 allow tcp from me to any src-port 80

 

 

# default block policy

${FwCMD} add 65531 deny all from table\(10\) to any via bge1

${FwCMD} add 65532 deny all from any to table\(10\) via bge1

${FwCMD} add 65533 deny all from table\(2\) to any via bge1

${FwCMD} add 65534 deny all from any to table\(2\) via bge1

${FwCMD} add 65535 allow all from any to any

 

# ==== CUSTOM FIREWALL CONFIG ====

 

${FwCMD} add  62100 allow tcp from table\(2\) to table\(17\) dst-port 80

${FwCMD} add  62100 allow tcp from table\(17\) to table\(2\) src-port 80

 

dhcpd.conf 

 

subnet {NETWORK} netmask {MASK} {

option domain-name-servers y.y.y.y;

default-lease-time 3600;

option domain-name "ourisp";

option subnet-mask {MASK};

option routers x.x.x.148;

include "/usr/local/etc/multinet/{HOSTS}";

}

 

на тестовій машині отримую ІР x.x.x.149 шлюз х.х.х.148 днс провайдера, але клієнтська машина х.149 не пінгується з сервером х.148, підкажіть де я допустив помилку

[l1ght 377]

ifconfig_vlan200="inet 172.16.2.1 netmask 255.255.255.0 vlan 200 vlandev bge1" #LAN інтерфейс

ifconfig_vlan200_alias0="inet x.x.x.148 netmask 255.255.255.248" # Аліас в сторону абонентів

 

 

${FwCMD} add 12001 pipe tablearg ip from any to table\(4\) via bge1 out

${FwCMD} add 12000 pipe tablearg ip from table\(3\) to any via bge1 in

Edited 2016-05-15 18:57:36 by l1ght