Jump to content
Local
Alex9959

Белые IP выдача пользователям

Recommended Posts

Добрый день. Нуждаюсь в вашей подсказке. 

Возникла необходимость прокинуть белые IP своим пользователям во внутреннюю сеть. Подскажите каи правильно это сделать ? прочитал документацию кроме строчек

 

Q: Как выдавать пользователям реальные IP?
A: Точно так же как и нереальные, они ничем не отличаются.

 

ничего не нашел :-)

 

на форуме тоже не по глазам :-( есть темы похожие но немного не то.

 

Rc.conf прилагается (как сейчас это все дело работает с серыми IP)

 

после выдачи пула из 8 адресов

как я понимаю мне надо добавить строку 

 

ifconfig_igb0_alias0="inet ZZZ.ZZZ.ZZZ.ZZZ netmask OOO.OOO.OOO.OOO" 

где igb0 это мой внешний сетевой интерфейс 

ZZZ.ZZZ.ZZZ.ZZZ            - первый IP из этого пула

OOO.OOO.OOO.OOO   - маска для этого IP

 

далее через веб интерфейс добавить сеть с услугами и выдавать пользователю IP из нового пула ... или что то не то ? 

получается надо что бы скорость на белых IP резалась согласно тарифу а в NAT таблицу этот IP не попадал.

 

как то кривовато объяснил но в целом вроди бы понятно ))) заранее спасибо большое.

rc.txt

Share this post


Link to post
Share on other sites

А разве той пары строчек недостаточно? Они целиком и полностью отвечают на ваш вопрос.

Share this post


Link to post
Share on other sites

1. Под реальные айпишки зарезервирована 10 табличка, см. документацию по NAS rscripd.

2. Просто дорисуйте ее а firewall.conf по образцу второй, ессно за вычетом NAT-а.

3. Думаю понятно, что айпишка алиаса должна попадать в сеть/cidr но не должна присутствовать в диапазоне "от-до", за вычетом айпишек вида х.х.х.1 - они юзерам принципиально не выдаются, с надеждой, что там "мы".

4. И да - ничем они не отличаются.

Share this post


Link to post
Share on other sites

То ли я дурак, то ли лыжи не едут.

Табличка создаётся, юзер туда попадает, но толку мало.

Кто-нибудь может поделиться примером реально работающего firewall.conf с добавленной 10-й табличкой?

Share this post


Link to post
Share on other sites

То ли я дурак, то ли лыжи не едут.

Табличка создаётся, юзер туда попадает, но толку мало.

Кто-нибудь может поделиться примером реально работающего firewall.conf с добавленной 10-й табличкой?

1. Смотрим глазами: https://github.com/nightflyza/UBinstaller/blob/master/configs/firewall.conf

2. Пользуемся логикой:

# Networks define
${FwCMD} table 10 add 1.2.3.4/24

# default block policy
${FwCMD} add 65533 deny all from table\(10\) to any via ${LAN_IF}
${FwCMD} add 65534 deny all from any to table\(10\) via ${LAN_IF}

3. Ясно, что нужно предусмотреть, чтобы для обратного трафика к реальным айпишкам, скипался НАТ.

Share this post


Link to post
Share on other sites

1. Смотрим глазами: https://github.com/n...s/firewall.conf

2. Пользуемся логикой:

 

1. Смотрел.

2. Пользовался.

Итог - юзер не пингует даже основной шлюз.

Видать, что-то я где-то перемудрил. Буду разбираться.

Share this post


Link to post
Share on other sites

1. Прописати аліас відповідної мережі білих ІР на мережевку яка дивиться на юзерів.

2. Загнати цю мережу в фаєр в таблицю 10 , (як описав nightfly), а також добавити відповідні правила в фаєр для табл 10.

3. Створити цю мережу в убілінг, у відповідності як добавляються прості (сірі) мережі

4. Створити відповідний персональний ДХЦП шаблон для цієї мережі в убілінг, якшо мережа білих ІР не /24

Share this post


Link to post
Share on other sites

привіт ,хочу на стенді прокинути айпі з роутрера через білінг на тестовий комп,  застрягнув на першому пункті 1.

 

 

1. Прописати аліас відповідної мережі білих ІР на мережевку яка дивиться на юзерів.

коли в rc.conf додаю рядок ifconfig_em0_alias1="192.168.2.1/24"
при : 

hostname="www"
ifconfig_em1="192.168.2.110/24"
defaultrouter="192.168.2.1" 
ifconfig_em0="172.16.0.1/24"
ifconfig_em0_alias0="172.16.32.1/24"
 
 
sshd_enable="YES"
dumpdev="AUTO"

тоді ізолюється сам білінг ,та не має на ньому інтернету . 
підкажіть щось 

Edited by kissbohda

Share this post


Link to post
Share on other sites
коли в rc.conf додаю рядок ifconfig_em0_alias1="192.168.2.1/24"

Шота я не виджу, аби то було білов мережов. Тай кумедно то фист виглядає, як ви намагаєтесі ото на самого себе дефолтраута вказати.

 

 

тоді ізолюється сам білінг ,та не має на ньому інтернету .

Ну то коню сі єсно - в вас однакові мережі, з однаковов масков, на одному тазіку висєти хочут. У яку дірку питаєссі, мав бис трафік плигати? Га? Відов в дірку конє?

 

 

підкажіть щось

zyma.jpg

Edited by nightfly

Share this post


Link to post
Share on other sites

Делали ? 

/etc/rc.d/netif restart  

после 

/etc/rc.d/routing restart 

ну и да нет  ifconfig_em0_alias1="192.168.2.1/24" 

Share this post


Link to post
Share on other sites

Делали ? 

/etc/rc.d/netif restart  

после 

/etc/rc.d/routing restart 

ну и да нет  ifconfig_em0_alias1="192.168.2.1/24" 

А наxeр это надо, и чем это поможет, если он дефолтраут сам на себя нарисовал? :lol:

Share this post


Link to post
Share on other sites

не ну хе может он для примера чтоб не палить айпи ??  :wacko:

Share this post


Link to post
Share on other sites

не ну хе может он для примера чтоб не палить айпи ??  :wacko:

У меня почему-то есть чувство, что оно так там дословно и нарисовано. Что вполне согласуется, с "та не має на ньому інтернету".

Я слишком долго наблюдаю за этим форумом, чтобы верить в добро и поняш.

 

never.jpg

Share this post


Link to post
Share on other sites

Ну то коню сі єсно - в вас однакові мережі, з однаковов масков, на одному тазіку висєти хочут. У яку дірку питаєссі, мав бис трафік плигати? Га? Відов в дірку конє?

 

красава! :)

Edited by BUM

Share this post


Link to post
Share on other sites

Ну то коню сі єсно - в вас однакові мережі, з однаковов масков, на одному тазіку висєти хочут. У яку дірку питаєссі, мав бис трафік плигати? Га? Відов в дірку конє?

 

красава! :)

а то всьо добре, не буду сі мучити, най сі кінь мучит , не буду робити мережеве збочення, однакові сети на двох мережевих  .

Share this post


Link to post
Share on other sites

Йо. Фист вибір!

 

Вйо, включеєм логіку... навіщо якусь айпішку аліясом вішати на межереву, що дивитсі в бік вашої громади?

Share this post


Link to post
Share on other sites

це в цілях навчання, хочу типу біле ip (припустимо 192.168.2.99) перекинути на тестовий комп, сервер з білінгом в тій самій мережі (192.168.2.1/24). айпі сервера =  ip 192.168.2.110/24 .
і громада не страждає бо роблю це на стенді. 
 

Share this post


Link to post
Share on other sites

 

 

це в цілях навчання, хочу типу біле ip (припустимо 192.168.2.99)

Ні, ви хочете біле IP 4.3.2.1 і в вас є їх декілька, скажімо маскою /26

 

 

 

перекинути на тестовий комп, сервер з білінгом в тій самій мережі (192.168.2.1/24)

ваш добрий провайдер, котрий насипав вам айпішок (про свій AS+PI очевидно не йдеться) малює зверху вниз на оцей ваш тазік статикою раут  наступного вигляду:

route add 4.3.2.1/26 192.168.2.1

після чого, ви користуючись банальною логікою, берете першу ж айпішку з цеї маски і вішаєте собі її аліасом, це буде дефолтраут для вашої громади (і я щиро сподіваюсь, що em0 дивиться на них):

 

 

ifconfig_em0_alias1="4.3.2.1/26"

 

далі додаєте собі в довіднику "мережі та послуги" мережку вигляду:

Початкова ІР: 4.3.2.0

Остання ІР: 4.3.2.62

Мережа/CIDR: 4.3.2.0/26

 

та вішаєте на цю мережу послугу типу "рєальні айпішечки".

 

В довіднику "Сервер DHCP" вішаєте на цю мережу щось з конфігом типу

subnet 4.3.2.0 netmask 255.255.255.192 {
 default-lease-time 3600;
 option domain-name "isp";
 option subnet-mask 255.255.255.192;
 option routers 4.3.2.1;
include "/usr/local/etc/multinet/{HOSTS}";
}

далі дивитесь, що там по фаєру, як описано вище, та радієте життю, просто перемикаючи потрібним юзерам сервіс.

 

P.S. Всі інші стрьомні штуки, які ви можете собі напридумувати, працювати не будуть. Забудьте.

Share this post


Link to post
Share on other sites

ще забув раут для 192.168.2.1

route add 4.3.2.1/26 192.168.2.110

Share this post


Link to post
Share on other sites

 

ще забув раут для 192.168.2.1

route add 4.3.2.1/26 192.168.2.110

А та, то я помилився. Воно ж ззовні приходить.

Share this post


Link to post
Share on other sites

P.S. Всі інші стрьомні штуки, які ви можете собі напридумувати, працювати не будуть. Забудьте.

 

дякую , буду старатися як найменше стрьомного придумувати  :)

Share this post


Link to post
Share on other sites

Всім привіт! Не буду нову тему створювати по білих IP запитаю тут, ніби все робив як вище вказано, але нічого не завелося

x.x.x.144/29 виділив провайдер

rc.conf

 
ifconfig_bge0="inet x.x.x.147 netmask 255.255.255.248"
defaultrouter="x.x.x.145"
gateway_enable="YES"
 
ifconfig_bge1="UP"
cloned_interfaces="vlan200"
ifconfig_vlan200="inet 172.16.2.1 netmask 255.255.255.0 vlan 200 vlandev bge1" # LAN інтерфейс
ifconfig_vlan200_alias0="inet x.x.x.148 netmask 255.255.255.248" # Аліас в сторону абонентів
 
ifconfig_re0="inet 192.168.50.3/24" # менеджмент інтерфейс
 
# firewall command
FwCMD="/sbin/ipfw -q"
 
${FwCMD} -f flush
 
# Networks define
${FwCMD} table 2 add 172.16.2.0/24
${FwCMD} table 9 add 172.16.2.0/24
${FwCMD} table 9 add x.x.x.147/32
${FwCMD} table 10 add x.x.x.144/29
 
#NAT
${FwCMD} nat 1 config log if bge0 reset same_ports
${FwCMD} add 6000 nat 1 ip from table\(2\) to not table\(9\) via bge0
${FwCMD} add 6001 nat 1 ip from any to x.x.x.147 via bge0
# in 6001 rule must be my external IP
 
#Shape
${FwCMD} add 12001 pipe tablearg ip from any to table\(4\) via bge1 out
${FwCMD} add 12000 pipe tablearg ip from table\(3\) to any via bge1 in
 
 
#security
${FwCMD} add 3 deny ip6 from any to any
${FwCMD} add 101 allow all from 192.168.50.1 to any
${FwCMD} add 101 allow all from any to 192.168.50.1
 
 
# allow access to my http for all
${FwCMD} add  62000 allow tcp from any to me dst-port 80
${FwCMD} add  62000 allow tcp from me to any src-port 80
 
 
# default block policy
${FwCMD} add 65531 deny all from table\(10\) to any via bge1
${FwCMD} add 65532 deny all from any to table\(10\) via bge1
${FwCMD} add 65533 deny all from table\(2\) to any via bge1
${FwCMD} add 65534 deny all from any to table\(2\) via bge1
${FwCMD} add 65535 allow all from any to any
 
# ==== CUSTOM FIREWALL CONFIG ====
 
${FwCMD} add  62100 allow tcp from table\(2\) to table\(17\) dst-port 80
${FwCMD} add  62100 allow tcp from table\(17\) to table\(2\) src-port 80
 

dhcpd.conf 

 

subnet {NETWORK} netmask {MASK} {
option domain-name-servers y.y.y.y;
default-lease-time 3600;
option domain-name "ourisp";
option subnet-mask {MASK};
option routers x.x.x.148;
include "/usr/local/etc/multinet/{HOSTS}";
}
 
на тестовій машині отримую ІР x.x.x.149 шлюз х.х.х.148 днс провайдера, але клієнтська машина х.149 не пінгується з сервером х.148, підкажіть де я допустив помилку

Share this post


Link to post
Share on other sites
ifconfig_vlan200="inet 172.16.2.1 netmask 255.255.255.0 vlan 200 vlandev bge1" #LAN інтерфейс
ifconfig_vlan200_alias0="inet x.x.x.148 netmask 255.255.255.248" # Аліас в сторону абонентів

 

 

${FwCMD} add 12001 pipe tablearg ip from any to table\(4\) via bge1 out
${FwCMD} add 12000 pipe tablearg ip from table\(3\) to any via bge1 in
Edited by l1ght

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×