Перейти до

Белые IP выдача пользователям


Рекомендованные сообщения

Добрый день. Нуждаюсь в вашей подсказке. 

Возникла необходимость прокинуть белые IP своим пользователям во внутреннюю сеть. Подскажите каи правильно это сделать ? прочитал документацию кроме строчек

 

Q: Как выдавать пользователям реальные IP?
A: Точно так же как и нереальные, они ничем не отличаются.

 

ничего не нашел :-)

 

на форуме тоже не по глазам :-( есть темы похожие но немного не то.

 

Rc.conf прилагается (как сейчас это все дело работает с серыми IP)

 

после выдачи пула из 8 адресов

как я понимаю мне надо добавить строку 

 

ifconfig_igb0_alias0="inet ZZZ.ZZZ.ZZZ.ZZZ netmask OOO.OOO.OOO.OOO" 

где igb0 это мой внешний сетевой интерфейс 

ZZZ.ZZZ.ZZZ.ZZZ            - первый IP из этого пула

OOO.OOO.OOO.OOO   - маска для этого IP

 

далее через веб интерфейс добавить сеть с услугами и выдавать пользователю IP из нового пула ... или что то не то ? 

получается надо что бы скорость на белых IP резалась согласно тарифу а в NAT таблицу этот IP не попадал.

 

как то кривовато объяснил но в целом вроди бы понятно ))) заранее спасибо большое.

rc.txt

Ссылка на сообщение
Поделиться на других сайтах

1. Под реальные айпишки зарезервирована 10 табличка, см. документацию по NAS rscripd.

2. Просто дорисуйте ее а firewall.conf по образцу второй, ессно за вычетом NAT-а.

3. Думаю понятно, что айпишка алиаса должна попадать в сеть/cidr но не должна присутствовать в диапазоне "от-до", за вычетом айпишек вида х.х.х.1 - они юзерам принципиально не выдаются, с надеждой, что там "мы".

4. И да - ничем они не отличаются.

Ссылка на сообщение
Поделиться на других сайтах
  • 3 months later...

То ли я дурак, то ли лыжи не едут.

Табличка создаётся, юзер туда попадает, но толку мало.

Кто-нибудь может поделиться примером реально работающего firewall.conf с добавленной 10-й табличкой?

Ссылка на сообщение
Поделиться на других сайтах

То ли я дурак, то ли лыжи не едут.

Табличка создаётся, юзер туда попадает, но толку мало.

Кто-нибудь может поделиться примером реально работающего firewall.conf с добавленной 10-й табличкой?

1. Смотрим глазами: https://github.com/nightflyza/UBinstaller/blob/master/configs/firewall.conf

2. Пользуемся логикой:

# Networks define
${FwCMD} table 10 add 1.2.3.4/24

# default block policy
${FwCMD} add 65533 deny all from table\(10\) to any via ${LAN_IF}
${FwCMD} add 65534 deny all from any to table\(10\) via ${LAN_IF}

3. Ясно, что нужно предусмотреть, чтобы для обратного трафика к реальным айпишкам, скипался НАТ.

Ссылка на сообщение
Поделиться на других сайтах

1. Смотрим глазами: https://github.com/n...s/firewall.conf

2. Пользуемся логикой:

 

1. Смотрел.

2. Пользовался.

Итог - юзер не пингует даже основной шлюз.

Видать, что-то я где-то перемудрил. Буду разбираться.

Ссылка на сообщение
Поделиться на других сайтах

1. Прописати аліас відповідної мережі білих ІР на мережевку яка дивиться на юзерів.

2. Загнати цю мережу в фаєр в таблицю 10 , (як описав nightfly), а також добавити відповідні правила в фаєр для табл 10.

3. Створити цю мережу в убілінг, у відповідності як добавляються прості (сірі) мережі

4. Створити відповідний персональний ДХЦП шаблон для цієї мережі в убілінг, якшо мережа білих ІР не /24

Ссылка на сообщение
Поделиться на других сайтах
  • 2 months later...

привіт ,хочу на стенді прокинути айпі з роутрера через білінг на тестовий комп,  застрягнув на першому пункті 1.

 

 

1. Прописати аліас відповідної мережі білих ІР на мережевку яка дивиться на юзерів.

коли в rc.conf додаю рядок ifconfig_em0_alias1="192.168.2.1/24"
при : 

hostname="www"
ifconfig_em1="192.168.2.110/24"
defaultrouter="192.168.2.1" 
ifconfig_em0="172.16.0.1/24"
ifconfig_em0_alias0="172.16.32.1/24"
 
 
sshd_enable="YES"
dumpdev="AUTO"

тоді ізолюється сам білінг ,та не має на ньому інтернету . 
підкажіть щось 

Відредаговано kissbohda
Ссылка на сообщение
Поделиться на других сайтах
коли в rc.conf додаю рядок ifconfig_em0_alias1="192.168.2.1/24"

Шота я не виджу, аби то було білов мережов. Тай кумедно то фист виглядає, як ви намагаєтесі ото на самого себе дефолтраута вказати.

 

 

тоді ізолюється сам білінг ,та не має на ньому інтернету .

Ну то коню сі єсно - в вас однакові мережі, з однаковов масков, на одному тазіку висєти хочут. У яку дірку питаєссі, мав бис трафік плигати? Га? Відов в дірку конє?

 

 

підкажіть щось

zyma.jpg

Відредаговано nightfly
Ссылка на сообщение
Поделиться на других сайтах

Делали ? 

/etc/rc.d/netif restart  

после 

/etc/rc.d/routing restart 

ну и да нет  ifconfig_em0_alias1="192.168.2.1/24" 

А наxeр это надо, и чем это поможет, если он дефолтраут сам на себя нарисовал? :lol:

Ссылка на сообщение
Поделиться на других сайтах

не ну хе может он для примера чтоб не палить айпи ??  :wacko:

У меня почему-то есть чувство, что оно так там дословно и нарисовано. Что вполне согласуется, с "та не має на ньому інтернету".

Я слишком долго наблюдаю за этим форумом, чтобы верить в добро и поняш.

 

never.jpg

Ссылка на сообщение
Поделиться на других сайтах

Ну то коню сі єсно - в вас однакові мережі, з однаковов масков, на одному тазіку висєти хочут. У яку дірку питаєссі, мав бис трафік плигати? Га? Відов в дірку конє?

 

красава! :)

Відредаговано BUM
Ссылка на сообщение
Поделиться на других сайтах

Ну то коню сі єсно - в вас однакові мережі, з однаковов масков, на одному тазіку висєти хочут. У яку дірку питаєссі, мав бис трафік плигати? Га? Відов в дірку конє?

 

красава! :)

а то всьо добре, не буду сі мучити, най сі кінь мучит , не буду робити мережеве збочення, однакові сети на двох мережевих  .

Ссылка на сообщение
Поделиться на других сайтах

Йо. Фист вибір!

 

Вйо, включеєм логіку... навіщо якусь айпішку аліясом вішати на межереву, що дивитсі в бік вашої громади?

Ссылка на сообщение
Поделиться на других сайтах

це в цілях навчання, хочу типу біле ip (припустимо 192.168.2.99) перекинути на тестовий комп, сервер з білінгом в тій самій мережі (192.168.2.1/24). айпі сервера =  ip 192.168.2.110/24 .
і громада не страждає бо роблю це на стенді. 
 

Ссылка на сообщение
Поделиться на других сайтах

 

 

це в цілях навчання, хочу типу біле ip (припустимо 192.168.2.99)

Ні, ви хочете біле IP 4.3.2.1 і в вас є їх декілька, скажімо маскою /26

 

 

 

перекинути на тестовий комп, сервер з білінгом в тій самій мережі (192.168.2.1/24)

ваш добрий провайдер, котрий насипав вам айпішок (про свій AS+PI очевидно не йдеться) малює зверху вниз на оцей ваш тазік статикою раут  наступного вигляду:

route add 4.3.2.1/26 192.168.2.1

після чого, ви користуючись банальною логікою, берете першу ж айпішку з цеї маски і вішаєте собі її аліасом, це буде дефолтраут для вашої громади (і я щиро сподіваюсь, що em0 дивиться на них):

 

 

ifconfig_em0_alias1="4.3.2.1/26"

 

далі додаєте собі в довіднику "мережі та послуги" мережку вигляду:

Початкова ІР: 4.3.2.0

Остання ІР: 4.3.2.62

Мережа/CIDR: 4.3.2.0/26

 

та вішаєте на цю мережу послугу типу "рєальні айпішечки".

 

В довіднику "Сервер DHCP" вішаєте на цю мережу щось з конфігом типу

subnet 4.3.2.0 netmask 255.255.255.192 {
 default-lease-time 3600;
 option domain-name "isp";
 option subnet-mask 255.255.255.192;
 option routers 4.3.2.1;
include "/usr/local/etc/multinet/{HOSTS}";
}

далі дивитесь, що там по фаєру, як описано вище, та радієте життю, просто перемикаючи потрібним юзерам сервіс.

 

P.S. Всі інші стрьомні штуки, які ви можете собі напридумувати, працювати не будуть. Забудьте.

Ссылка на сообщение
Поделиться на других сайтах

P.S. Всі інші стрьомні штуки, які ви можете собі напридумувати, працювати не будуть. Забудьте.

 

дякую , буду старатися як найменше стрьомного придумувати  :)

Ссылка на сообщение
Поделиться на других сайтах
  • 10 months later...

Всім привіт! Не буду нову тему створювати по білих IP запитаю тут, ніби все робив як вище вказано, але нічого не завелося

x.x.x.144/29 виділив провайдер

rc.conf

 
ifconfig_bge0="inet x.x.x.147 netmask 255.255.255.248"
defaultrouter="x.x.x.145"
gateway_enable="YES"
 
ifconfig_bge1="UP"
cloned_interfaces="vlan200"
ifconfig_vlan200="inet 172.16.2.1 netmask 255.255.255.0 vlan 200 vlandev bge1" # LAN інтерфейс
ifconfig_vlan200_alias0="inet x.x.x.148 netmask 255.255.255.248" # Аліас в сторону абонентів
 
ifconfig_re0="inet 192.168.50.3/24" # менеджмент інтерфейс
 
# firewall command
FwCMD="/sbin/ipfw -q"
 
${FwCMD} -f flush
 
# Networks define
${FwCMD} table 2 add 172.16.2.0/24
${FwCMD} table 9 add 172.16.2.0/24
${FwCMD} table 9 add x.x.x.147/32
${FwCMD} table 10 add x.x.x.144/29
 
#NAT
${FwCMD} nat 1 config log if bge0 reset same_ports
${FwCMD} add 6000 nat 1 ip from table\(2\) to not table\(9\) via bge0
${FwCMD} add 6001 nat 1 ip from any to x.x.x.147 via bge0
# in 6001 rule must be my external IP
 
#Shape
${FwCMD} add 12001 pipe tablearg ip from any to table\(4\) via bge1 out
${FwCMD} add 12000 pipe tablearg ip from table\(3\) to any via bge1 in
 
 
#security
${FwCMD} add 3 deny ip6 from any to any
${FwCMD} add 101 allow all from 192.168.50.1 to any
${FwCMD} add 101 allow all from any to 192.168.50.1
 
 
# allow access to my http for all
${FwCMD} add  62000 allow tcp from any to me dst-port 80
${FwCMD} add  62000 allow tcp from me to any src-port 80
 
 
# default block policy
${FwCMD} add 65531 deny all from table\(10\) to any via bge1
${FwCMD} add 65532 deny all from any to table\(10\) via bge1
${FwCMD} add 65533 deny all from table\(2\) to any via bge1
${FwCMD} add 65534 deny all from any to table\(2\) via bge1
${FwCMD} add 65535 allow all from any to any
 
# ==== CUSTOM FIREWALL CONFIG ====
 
${FwCMD} add  62100 allow tcp from table\(2\) to table\(17\) dst-port 80
${FwCMD} add  62100 allow tcp from table\(17\) to table\(2\) src-port 80
 

dhcpd.conf 

 

subnet {NETWORK} netmask {MASK} {
option domain-name-servers y.y.y.y;
default-lease-time 3600;
option domain-name "ourisp";
option subnet-mask {MASK};
option routers x.x.x.148;
include "/usr/local/etc/multinet/{HOSTS}";
}
 
на тестовій машині отримую ІР x.x.x.149 шлюз х.х.х.148 днс провайдера, але клієнтська машина х.149 не пінгується з сервером х.148, підкажіть де я допустив помилку
Ссылка на сообщение
Поделиться на других сайтах
ifconfig_vlan200="inet 172.16.2.1 netmask 255.255.255.0 vlan 200 vlandev bge1" #LAN інтерфейс
ifconfig_vlan200_alias0="inet x.x.x.148 netmask 255.255.255.248" # Аліас в сторону абонентів

 

 

${FwCMD} add 12001 pipe tablearg ip from any to table\(4\) via bge1 out
${FwCMD} add 12000 pipe tablearg ip from table\(3\) to any via bge1 in
Відредаговано l1ght
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...