Alex9959 1 Опубликовано: 2014-12-16 09:32:35 Share Опубликовано: 2014-12-16 09:32:35 Добрый день. Нуждаюсь в вашей подсказке. Возникла необходимость прокинуть белые IP своим пользователям во внутреннюю сеть. Подскажите каи правильно это сделать ? прочитал документацию кроме строчек Q: Как выдавать пользователям реальные IP?A: Точно так же как и нереальные, они ничем не отличаются. ничего не нашел :-) на форуме тоже не по глазам :-( есть темы похожие но немного не то. Rc.conf прилагается (как сейчас это все дело работает с серыми IP) после выдачи пула из 8 адресов как я понимаю мне надо добавить строку ifconfig_igb0_alias0="inet ZZZ.ZZZ.ZZZ.ZZZ netmask OOO.OOO.OOO.OOO" где igb0 это мой внешний сетевой интерфейс ZZZ.ZZZ.ZZZ.ZZZ - первый IP из этого пула OOO.OOO.OOO.OOO - маска для этого IP далее через веб интерфейс добавить сеть с услугами и выдавать пользователю IP из нового пула ... или что то не то ? получается надо что бы скорость на белых IP резалась согласно тарифу а в NAT таблицу этот IP не попадал. как то кривовато объяснил но в целом вроди бы понятно ))) заранее спасибо большое. rc.txt Ссылка на сообщение Поделиться на других сайтах
madf 279 Опубліковано: 2014-12-16 10:35:30 Share Опубліковано: 2014-12-16 10:35:30 А разве той пары строчек недостаточно? Они целиком и полностью отвечают на ваш вопрос. Ссылка на сообщение Поделиться на других сайтах
Alex9959 1 Опубліковано: 2014-12-16 10:41:17 Автор Share Опубліковано: 2014-12-16 10:41:17 ну как то не совсем ... ))) Ссылка на сообщение Поделиться на других сайтах
nightfly 1 241 Опубліковано: 2014-12-16 12:12:11 Share Опубліковано: 2014-12-16 12:12:11 1. Под реальные айпишки зарезервирована 10 табличка, см. документацию по NAS rscripd. 2. Просто дорисуйте ее а firewall.conf по образцу второй, ессно за вычетом NAT-а. 3. Думаю понятно, что айпишка алиаса должна попадать в сеть/cidr но не должна присутствовать в диапазоне "от-до", за вычетом айпишек вида х.х.х.1 - они юзерам принципиально не выдаются, с надеждой, что там "мы". 4. И да - ничем они не отличаются. Ссылка на сообщение Поделиться на других сайтах
Constantine.Kazakoff 26 Опубліковано: 2015-03-24 12:30:56 Share Опубліковано: 2015-03-24 12:30:56 То ли я дурак, то ли лыжи не едут. Табличка создаётся, юзер туда попадает, но толку мало. Кто-нибудь может поделиться примером реально работающего firewall.conf с добавленной 10-й табличкой? Ссылка на сообщение Поделиться на других сайтах
nightfly 1 241 Опубліковано: 2015-03-24 12:44:48 Share Опубліковано: 2015-03-24 12:44:48 То ли я дурак, то ли лыжи не едут. Табличка создаётся, юзер туда попадает, но толку мало. Кто-нибудь может поделиться примером реально работающего firewall.conf с добавленной 10-й табличкой? 1. Смотрим глазами: https://github.com/nightflyza/UBinstaller/blob/master/configs/firewall.conf 2. Пользуемся логикой: # Networks define ${FwCMD} table 10 add 1.2.3.4/24 # default block policy ${FwCMD} add 65533 deny all from table\(10\) to any via ${LAN_IF} ${FwCMD} add 65534 deny all from any to table\(10\) via ${LAN_IF} 3. Ясно, что нужно предусмотреть, чтобы для обратного трафика к реальным айпишкам, скипался НАТ. Ссылка на сообщение Поделиться на других сайтах
Constantine.Kazakoff 26 Опубліковано: 2015-03-24 13:45:50 Share Опубліковано: 2015-03-24 13:45:50 1. Смотрим глазами: https://github.com/n...s/firewall.conf 2. Пользуемся логикой: 1. Смотрел. 2. Пользовался. Итог - юзер не пингует даже основной шлюз. Видать, что-то я где-то перемудрил. Буду разбираться. Ссылка на сообщение Поделиться на других сайтах
chinhis 0 Опубліковано: 2015-03-25 08:31:02 Share Опубліковано: 2015-03-25 08:31:02 1. Прописати аліас відповідної мережі білих ІР на мережевку яка дивиться на юзерів. 2. Загнати цю мережу в фаєр в таблицю 10 , (як описав nightfly), а також добавити відповідні правила в фаєр для табл 10. 3. Створити цю мережу в убілінг, у відповідності як добавляються прості (сірі) мережі 4. Створити відповідний персональний ДХЦП шаблон для цієї мережі в убілінг, якшо мережа білих ІР не /24 Ссылка на сообщение Поделиться на других сайтах
kissbohda 23 Опубліковано: 2015-06-23 19:03:03 Share Опубліковано: 2015-06-23 19:03:03 (відредаговано) привіт ,хочу на стенді прокинути айпі з роутрера через білінг на тестовий комп, застрягнув на першому пункті 1. 1. Прописати аліас відповідної мережі білих ІР на мережевку яка дивиться на юзерів. коли в rc.conf додаю рядок ifconfig_em0_alias1="192.168.2.1/24"при : hostname="www" ifconfig_em1="192.168.2.110/24" defaultrouter="192.168.2.1" ifconfig_em0="172.16.0.1/24" ifconfig_em0_alias0="172.16.32.1/24" sshd_enable="YES" dumpdev="AUTO" тоді ізолюється сам білінг ,та не має на ньому інтернету . підкажіть щось Відредаговано 2015-06-23 19:03:44 kissbohda Ссылка на сообщение Поделиться на других сайтах
nightfly 1 241 Опубліковано: 2015-06-23 19:31:20 Share Опубліковано: 2015-06-23 19:31:20 (відредаговано) коли в rc.conf додаю рядок ifconfig_em0_alias1="192.168.2.1/24" Шота я не виджу, аби то було білов мережов. Тай кумедно то фист виглядає, як ви намагаєтесі ото на самого себе дефолтраута вказати. тоді ізолюється сам білінг ,та не має на ньому інтернету . Ну то коню сі єсно - в вас однакові мережі, з однаковов масков, на одному тазіку висєти хочут. У яку дірку питаєссі, мав бис трафік плигати? Га? Відов в дірку конє? підкажіть щось Відредаговано 2015-06-23 19:38:25 nightfly Ссылка на сообщение Поделиться на других сайтах
skybetik 134 Опубліковано: 2015-06-23 19:36:44 Share Опубліковано: 2015-06-23 19:36:44 Делали ? /etc/rc.d/netif restart после /etc/rc.d/routing restart ну и да нет ifconfig_em0_alias1="192.168.2.1/24" Ссылка на сообщение Поделиться на других сайтах
nightfly 1 241 Опубліковано: 2015-06-23 19:40:15 Share Опубліковано: 2015-06-23 19:40:15 Делали ? /etc/rc.d/netif restart после /etc/rc.d/routing restart ну и да нет ifconfig_em0_alias1="192.168.2.1/24" А наxeр это надо, и чем это поможет, если он дефолтраут сам на себя нарисовал? Ссылка на сообщение Поделиться на других сайтах
skybetik 134 Опубліковано: 2015-06-23 19:41:29 Share Опубліковано: 2015-06-23 19:41:29 не ну хе может он для примера чтоб не палить айпи ?? Ссылка на сообщение Поделиться на других сайтах
nightfly 1 241 Опубліковано: 2015-06-23 19:45:47 Share Опубліковано: 2015-06-23 19:45:47 не ну хе может он для примера чтоб не палить айпи ?? У меня почему-то есть чувство, что оно так там дословно и нарисовано. Что вполне согласуется, с "та не має на ньому інтернету". Я слишком долго наблюдаю за этим форумом, чтобы верить в добро и поняш. Ссылка на сообщение Поделиться на других сайтах
BUM 242 Опубліковано: 2015-06-23 20:13:52 Share Опубліковано: 2015-06-23 20:13:52 (відредаговано) Ну то коню сі єсно - в вас однакові мережі, з однаковов масков, на одному тазіку висєти хочут. У яку дірку питаєссі, мав бис трафік плигати? Га? Відов в дірку конє? красава! Відредаговано 2015-06-24 05:39:38 BUM Ссылка на сообщение Поделиться на других сайтах
kissbohda 23 Опубліковано: 2015-06-24 08:18:13 Share Опубліковано: 2015-06-24 08:18:13 Ну то коню сі єсно - в вас однакові мережі, з однаковов масков, на одному тазіку висєти хочут. У яку дірку питаєссі, мав бис трафік плигати? Га? Відов в дірку конє? красава! а то всьо добре, не буду сі мучити, най сі кінь мучит , не буду робити мережеве збочення, однакові сети на двох мережевих . Ссылка на сообщение Поделиться на других сайтах
nightfly 1 241 Опубліковано: 2015-06-24 08:22:46 Share Опубліковано: 2015-06-24 08:22:46 Йо. Фист вибір! Вйо, включеєм логіку... навіщо якусь айпішку аліясом вішати на межереву, що дивитсі в бік вашої громади? Ссылка на сообщение Поделиться на других сайтах
kissbohda 23 Опубліковано: 2015-06-24 09:09:33 Share Опубліковано: 2015-06-24 09:09:33 це в цілях навчання, хочу типу біле ip (припустимо 192.168.2.99) перекинути на тестовий комп, сервер з білінгом в тій самій мережі (192.168.2.1/24). айпі сервера = ip 192.168.2.110/24 .і громада не страждає бо роблю це на стенді. Ссылка на сообщение Поделиться на других сайтах
nightfly 1 241 Опубліковано: 2015-06-24 10:09:16 Share Опубліковано: 2015-06-24 10:09:16 це в цілях навчання, хочу типу біле ip (припустимо 192.168.2.99) Ні, ви хочете біле IP 4.3.2.1 і в вас є їх декілька, скажімо маскою /26 перекинути на тестовий комп, сервер з білінгом в тій самій мережі (192.168.2.1/24) ваш добрий провайдер, котрий насипав вам айпішок (про свій AS+PI очевидно не йдеться) малює зверху вниз на оцей ваш тазік статикою раут наступного вигляду: route add 4.3.2.1/26 192.168.2.1 після чого, ви користуючись банальною логікою, берете першу ж айпішку з цеї маски і вішаєте собі її аліасом, це буде дефолтраут для вашої громади (і я щиро сподіваюсь, що em0 дивиться на них): ifconfig_em0_alias1="4.3.2.1/26" далі додаєте собі в довіднику "мережі та послуги" мережку вигляду: Початкова ІР: 4.3.2.0 Остання ІР: 4.3.2.62 Мережа/CIDR: 4.3.2.0/26 та вішаєте на цю мережу послугу типу "рєальні айпішечки". В довіднику "Сервер DHCP" вішаєте на цю мережу щось з конфігом типу subnet 4.3.2.0 netmask 255.255.255.192 { default-lease-time 3600; option domain-name "isp"; option subnet-mask 255.255.255.192; option routers 4.3.2.1; include "/usr/local/etc/multinet/{HOSTS}"; } далі дивитесь, що там по фаєру, як описано вище, та радієте життю, просто перемикаючи потрібним юзерам сервіс. P.S. Всі інші стрьомні штуки, які ви можете собі напридумувати, працювати не будуть. Забудьте. Ссылка на сообщение Поделиться на других сайтах
l1ght 377 Опубліковано: 2015-06-24 11:06:00 Share Опубліковано: 2015-06-24 11:06:00 ще забув раут для 192.168.2.1 route add 4.3.2.1/26 192.168.2.110 Ссылка на сообщение Поделиться на других сайтах
nightfly 1 241 Опубліковано: 2015-06-24 11:13:59 Share Опубліковано: 2015-06-24 11:13:59 ще забув раут для 192.168.2.1 route add 4.3.2.1/26 192.168.2.110 А та, то я помилився. Воно ж ззовні приходить. Ссылка на сообщение Поделиться на других сайтах
USD 31 Опубліковано: 2015-06-24 13:52:24 Share Опубліковано: 2015-06-24 13:52:24 quagga Ссылка на сообщение Поделиться на других сайтах
kissbohda 23 Опубліковано: 2015-06-24 20:21:50 Share Опубліковано: 2015-06-24 20:21:50 P.S. Всі інші стрьомні штуки, які ви можете собі напридумувати, працювати не будуть. Забудьте. дякую , буду старатися як найменше стрьомного придумувати Ссылка на сообщение Поделиться на других сайтах
desmond 22 Опубліковано: 2016-05-15 18:44:31 Share Опубліковано: 2016-05-15 18:44:31 Всім привіт! Не буду нову тему створювати по білих IP запитаю тут, ніби все робив як вище вказано, але нічого не завелося x.x.x.144/29 виділив провайдер rc.conf ifconfig_bge0="inet x.x.x.147 netmask 255.255.255.248" defaultrouter="x.x.x.145" gateway_enable="YES" ifconfig_bge1="UP" cloned_interfaces="vlan200" ifconfig_vlan200="inet 172.16.2.1 netmask 255.255.255.0 vlan 200 vlandev bge1" # LAN інтерфейс ifconfig_vlan200_alias0="inet x.x.x.148 netmask 255.255.255.248" # Аліас в сторону абонентів ifconfig_re0="inet 192.168.50.3/24" # менеджмент інтерфейс # firewall command FwCMD="/sbin/ipfw -q" ${FwCMD} -f flush # Networks define ${FwCMD} table 2 add 172.16.2.0/24 ${FwCMD} table 9 add 172.16.2.0/24 ${FwCMD} table 9 add x.x.x.147/32 ${FwCMD} table 10 add x.x.x.144/29 #NAT ${FwCMD} nat 1 config log if bge0 reset same_ports ${FwCMD} add 6000 nat 1 ip from table\(2\) to not table\(9\) via bge0 ${FwCMD} add 6001 nat 1 ip from any to x.x.x.147 via bge0 # in 6001 rule must be my external IP #Shape ${FwCMD} add 12001 pipe tablearg ip from any to table\(4\) via bge1 out ${FwCMD} add 12000 pipe tablearg ip from table\(3\) to any via bge1 in #security ${FwCMD} add 3 deny ip6 from any to any ${FwCMD} add 101 allow all from 192.168.50.1 to any ${FwCMD} add 101 allow all from any to 192.168.50.1 # allow access to my http for all ${FwCMD} add 62000 allow tcp from any to me dst-port 80 ${FwCMD} add 62000 allow tcp from me to any src-port 80 # default block policy ${FwCMD} add 65531 deny all from table\(10\) to any via bge1 ${FwCMD} add 65532 deny all from any to table\(10\) via bge1 ${FwCMD} add 65533 deny all from table\(2\) to any via bge1 ${FwCMD} add 65534 deny all from any to table\(2\) via bge1 ${FwCMD} add 65535 allow all from any to any # ==== CUSTOM FIREWALL CONFIG ==== ${FwCMD} add 62100 allow tcp from table\(2\) to table\(17\) dst-port 80 ${FwCMD} add 62100 allow tcp from table\(17\) to table\(2\) src-port 80 dhcpd.conf subnet {NETWORK} netmask {MASK} { option domain-name-servers y.y.y.y; default-lease-time 3600; option domain-name "ourisp"; option subnet-mask {MASK}; option routers x.x.x.148; include "/usr/local/etc/multinet/{HOSTS}"; } на тестовій машині отримую ІР x.x.x.149 шлюз х.х.х.148 днс провайдера, але клієнтська машина х.149 не пінгується з сервером х.148, підкажіть де я допустив помилку Ссылка на сообщение Поделиться на других сайтах
l1ght 377 Опубліковано: 2016-05-15 18:57:07 Share Опубліковано: 2016-05-15 18:57:07 (відредаговано) ifconfig_vlan200="inet 172.16.2.1 netmask 255.255.255.0 vlan 200 vlandev bge1" #LAN інтерфейс ifconfig_vlan200_alias0="inet x.x.x.148 netmask 255.255.255.248" # Аліас в сторону абонентів ${FwCMD} add 12001 pipe tablearg ip from any to table\(4\) via bge1 out ${FwCMD} add 12000 pipe tablearg ip from table\(3\) to any via bge1 in Відредаговано 2016-05-15 18:57:36 l1ght Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас