speedfire87 7 Опубликовано: 2015-09-17 18:41:04 Share Опубликовано: 2015-09-17 18:41:04 К примеры есть пул ip 37.46.206.216/29, для нат - 37.46.206.217/29 а остальные для клиентов риал ip, чем реализовуется pf или ipfw ? и можно парочку рабочих счем раздачи белых ip? Спасибо) Ссылка на сообщение Поделиться на других сайтах
l1ght 377 Опубліковано: 2015-09-17 18:50:15 Share Опубліковано: 2015-09-17 18:50:15 а чем принципиально отличаются белые от серых? кроме того что белые не нужно натить Ссылка на сообщение Поделиться на других сайтах
speedfire87 7 Опубліковано: 2015-09-17 18:55:37 Автор Share Опубліковано: 2015-09-17 18:55:37 а чем принципиально отличаются белые от серых? кроме того что белые не нужно натить Вот как выдает мне ip мой оператор интерфесная сеть vlan111 37.46.215.60/30 клиетнская сеть 37.46.206.216/29 как на примере двух VLAN ее можно раздать ? Ссылка на сообщение Поделиться на других сайтах
l1ght 377 Опубліковано: 2015-09-17 19:13:48 Share Опубліковано: 2015-09-17 19:13:48 (відредаговано) а чем принципиально отличаются белые от серых? кроме того что белые не нужно натить Вот как выдает мне ip мой оператор как на примере двух VLAN ее можно раздать ? айпишки свои не светите, для примеров есть серые сети в часности 192.168 и другие сделаем так, у вас есть 192.168.0.4/30 и 192.168.0.8/29 оборудование аплинка - 192.168.0.5 - это ваш шлюз ваше оборудование 192.168.0.6 - там у вас по идее висит НАТ дальше смотря как вам выдана вторая подсеть - что б не было проблем поидее вторая подсеть должна быть промаршрутизирована через адрес 192.168.0.6 тогда вы себе просто вешаете на интерфейс который смотрит на абонентов и вешаете туда свою подсеть 192.168.0.8\29 на нее уже абонентов обычная маршрутизация - не мешало б поучить вам Відредаговано 2015-09-17 19:15:16 L1ght Ссылка на сообщение Поделиться на других сайтах
speedfire87 7 Опубліковано: 2015-09-17 19:36:36 Автор Share Опубліковано: 2015-09-17 19:36:36 Тогда не большое уточнениечто выдает оператор аплинк :vlan111192.168.215.60/30 192.168.206.216/29 шлюз по умолчанию 192.168.215.61 -= мои действия =- прием от оперетора vlan111 ifconfig 192.168.215.62/30 route add default 192.168.215.61раздача клиентамvlan110 ifconfig 192.168.206.217/29 и остальные ip раздаю в этом vlanПример настройки на клиентском пк ip 192.168.206.218 mask 255.255.255.248 gw 192.168.206.217 Верно ? Ссылка на сообщение Поделиться на других сайтах
l1ght 377 Опубліковано: 2015-09-17 20:30:00 Share Опубліковано: 2015-09-17 20:30:00 да поидее должно сработать Ссылка на сообщение Поделиться на других сайтах
speedfire87 7 Опубліковано: 2015-09-17 23:11:35 Автор Share Опубліковано: 2015-09-17 23:11:35 (відредаговано) да поидее должно сработать Таки работает ) А кто подскажет, как можно отключить должника с реальным ip ? Відредаговано 2015-09-17 23:32:22 speedfire87 Ссылка на сообщение Поделиться на других сайтах
DemonidZe 15 Опубліковано: 2015-09-18 08:18:13 Share Опубліковано: 2015-09-18 08:18:13 так же как и с серым делаете все теже действия в он конректе только для реального ип Ссылка на сообщение Поделиться на других сайтах
speedfire87 7 Опубліковано: 2015-09-18 09:55:36 Автор Share Опубліковано: 2015-09-18 09:55:36 так же как и с серым делаете все теже действия в он конректе только для реального ип ${CMD} nat 1 config ip ${ip_in} log unreg_only same_ports reset ${CMD} add 1200 nat 1 ip from table\(1\) to not table\(9\) via $if_in ${CMD} add 1300 nat 1 ip from any to $ip_in via $if_in у меня при авторизация пользоватилей нат добавляются в таблицу 1 Ссылка на сообщение Поделиться на других сайтах
DemonidZe 15 Опубліковано: 2015-09-18 10:41:06 Share Опубліковано: 2015-09-18 10:41:06 (відредаговано) ну а как вы шейпите ? для реальных ип то нат не нужен. и вообще конфиг фаервола можно глянуть ? Відредаговано 2015-09-18 10:44:30 DemonidZe Ссылка на сообщение Поделиться на других сайтах
l1ght 377 Опубліковано: 2015-09-18 10:59:40 Share Опубліковано: 2015-09-18 10:59:40 ну а как вы шейпите ? для реальных ип то нат не нужен. и вообще конфиг фаервола можно глянуть ? ага и OnConnect\OnDisconnect у ТС-а (подозреваю) мало что осталось от заводских настроек убиллинга Ссылка на сообщение Поделиться на других сайтах
speedfire87 7 Опубліковано: 2015-09-18 16:45:06 Автор Share Опубліковано: 2015-09-18 16:45:06 (відредаговано) ну а как вы шейпите ? для реальных ип то нат не нужен. и вообще конфиг фаервола можно глянуть ? ага и OnConnect\OnDisconnect у ТС-а (подозреваю) мало что осталось от заводских настроек убиллинга белый ip раздаеться посредством обычной маршрутизации Фаерволл ${CMD} nat 1 config ip ${ip_in} log unreg_only same_ports reset ${CMD} add 1200 nat 1 ip from table\(1\) to not table\(9\) via $if_in ${CMD} add 1300 nat 1 ip from any to $ip_in via $if_in ${CMD} add 65534 allow ip from any to any # 0x000000ff # 1mbit ${CMD} pipe 11 config bw 1Mbit/s mask dst-ip 0xffffffff ${CMD} pipe 12 config bw 1Mbit/s mask src-ip 0xffffffff ${CMD} add 51 pipe 11 ip from any to table\(11\) out ${CMD} add 52 pipe 12 ip from table\(11\) to any in /etc/stargazer/OnConnect ipfw table 1 add $IP pfctl -t auth -T add $IP case ${tariff1} in 1024|1) ${fwcmd} table 11 add ${IP} ;; 2048|2) ${fwcmd} table 12 add ${IP} ;; 4096|4) ${fwcmd} table 13 add ${IP} ;; 8192|8) ${fwcmd} table 14 add ${IP} ;; 9216|9) ${fwcmd} table 15 add ${IP} ;; 10240|10) ${fwcmd} table 16 add ${IP} ;; 15360|15) ${fwcmd} table 17 add ${IP} ;; 20480|20) ${fwcmd} table 18 add ${IP} ;; 22528|22) ${fwcmd} table 19 add ${IP} ;; 25600|25) ${fwcmd} table 20 add ${IP} ;; 30720|30) ${fwcmd} table 21 add ${IP} ;; 40960|40) ${fwcmd} table 22 add ${IP} ;; 46080|45) ${fwcmd} table 23 add ${IP} ;; 51200|50) ${fwcmd} table 24 add ${IP} ;; 81920|80|100) ${fwcmd} table 25 add ${IP} ;; unlim|UNLIM|unlimited|UNLIMITED) ${fwcmd} table 26 add ${IP} ;; *) ${fwcmd} table 30 add ${IP} ;; esac Відредаговано 2015-09-18 16:51:48 speedfire87 Ссылка на сообщение Поделиться на других сайтах
l1ght 377 Опубліковано: 2015-09-18 16:53:23 Share Опубліковано: 2015-09-18 16:53:23 ну а как вы шейпите ? для реальных ип то нат не нужен. и вообще конфиг фаервола можно глянуть ? ага и OnConnect\OnDisconnect у ТС-а (подозреваю) мало что осталось от заводских настроек убиллинга Фаерволл ${CMD} nat 1 config ip ${ip_in} log unreg_only same_ports reset ${CMD} add 1200 nat 1 ip from table\(1\) to not table\(9\) via $if_in ${CMD} add 1300 nat 1 ip from any to $ip_in via $if_in ${CMD} add 65534 allow ip from any to any # 0x000000ff # 1mbit ${CMD} pipe 11 config bw 1Mbit/s mask dst-ip 0xffffffff ${CMD} pipe 12 config bw 1Mbit/s mask src-ip 0xffffffff ${CMD} add 51 pipe 11 ip from any to table\(11\) out ${CMD} add 52 pipe 12 ip from table\(11\) to any in Это фаервол белый ip раздаеться посредством обычной маршрутизации /etc/stargazer/OnConnect ipfw table 1 add $IP pfctl -t auth -T add $IP case ${tariff1} in 1024|1) ${fwcmd} table 11 add ${IP} ;; 2048|2) ${fwcmd} table 12 add ${IP} ;; 4096|4) ${fwcmd} table 13 add ${IP} ;; 8192|8) ${fwcmd} table 14 add ${IP} ;; 9216|9) ${fwcmd} table 15 add ${IP} ;; 10240|10) ${fwcmd} table 16 add ${IP} ;; 15360|15) ${fwcmd} table 17 add ${IP} ;; 20480|20) ${fwcmd} table 18 add ${IP} ;; 22528|22) ${fwcmd} table 19 add ${IP} ;; 25600|25) ${fwcmd} table 20 add ${IP} ;; 30720|30) ${fwcmd} table 21 add ${IP} ;; 40960|40) ${fwcmd} table 22 add ${IP} ;; 46080|45) ${fwcmd} table 23 add ${IP} ;; 51200|50) ${fwcmd} table 24 add ${IP} ;; 81920|80|100) ${fwcmd} table 25 add ${IP} ;; unlim|UNLIM|unlimited|UNLIMITED) ${fwcmd} table 26 add ${IP} ;; *) ${fwcmd} table 30 add ${IP} ;; esac Религия не позволяет использовать стандартный фаервол? вам бы не первую таблицу добавлять\удалять а в таблицы с шейпером и создать правило где-то в конце где запретить весь абонентский трафик - оно будет срабатывать если абонент не прошел через шейпер Ссылка на сообщение Поделиться на других сайтах
vop 370 Опубліковано: 2015-09-18 17:12:49 Share Опубліковано: 2015-09-18 17:12:49 С кучей таблиц под каждый тариф - это круто. Ссылка на сообщение Поделиться на других сайтах
speedfire87 7 Опубліковано: 2015-09-18 17:16:43 Автор Share Опубліковано: 2015-09-18 17:16:43 ну а как вы шейпите ? для реальных ип то нат не нужен. и вообще конфиг фаервола можно глянуть ? ага и OnConnect\OnDisconnect у ТС-а (подозреваю) мало что осталось от заводских настроек убиллинга Фаерволл ${CMD} nat 1 config ip ${ip_in} log unreg_only same_ports reset ${CMD} add 1200 nat 1 ip from table\(1\) to not table\(9\) via $if_in ${CMD} add 1300 nat 1 ip from any to $ip_in via $if_in ${CMD} add 65534 allow ip from any to any # 0x000000ff # 1mbit ${CMD} pipe 11 config bw 1Mbit/s mask dst-ip 0xffffffff ${CMD} pipe 12 config bw 1Mbit/s mask src-ip 0xffffffff ${CMD} add 51 pipe 11 ip from any to table\(11\) out ${CMD} add 52 pipe 12 ip from table\(11\) to any in Это фаервол белый ip раздаеться посредством обычной маршрутизации /etc/stargazer/OnConnect ipfw table 1 add $IP pfctl -t auth -T add $IP case ${tariff1} in 1024|1) ${fwcmd} table 11 add ${IP} ;; 2048|2) ${fwcmd} table 12 add ${IP} ;; 4096|4) ${fwcmd} table 13 add ${IP} ;; 8192|8) ${fwcmd} table 14 add ${IP} ;; 9216|9) ${fwcmd} table 15 add ${IP} ;; 10240|10) ${fwcmd} table 16 add ${IP} ;; 15360|15) ${fwcmd} table 17 add ${IP} ;; 20480|20) ${fwcmd} table 18 add ${IP} ;; 22528|22) ${fwcmd} table 19 add ${IP} ;; 25600|25) ${fwcmd} table 20 add ${IP} ;; 30720|30) ${fwcmd} table 21 add ${IP} ;; 40960|40) ${fwcmd} table 22 add ${IP} ;; 46080|45) ${fwcmd} table 23 add ${IP} ;; 51200|50) ${fwcmd} table 24 add ${IP} ;; 81920|80|100) ${fwcmd} table 25 add ${IP} ;; unlim|UNLIM|unlimited|UNLIMITED) ${fwcmd} table 26 add ${IP} ;; *) ${fwcmd} table 30 add ${IP} ;; esac Религия не позволяет использовать стандартный фаервол? вам бы не первую таблицу добавлять\удалять а в таблицы с шейпером и создать правило где-то в конце где запретить весь абонентский трафик - оно будет срабатывать если абонент не прошел через шейпер Есть иди по как схематически реализовать добавление в шейпер и что бы при этом раздавался интернет ? Ссылка на сообщение Поделиться на других сайтах
DemonidZe 15 Опубліковано: 2015-09-21 06:35:01 Share Опубліковано: 2015-09-21 06:35:01 (відредаговано) хм... ну как бы есть уже откатанные настройки фаервола где в одном правиле сразу и шейпишь и открываешь доступ в инет . #NAT ${FwCMD} nat 1 config ip х.х.х.х log reset same_ports deny_in ${FwCMD} add 6000 nat 1 ip from table\(2\) to not table\(9\) via igb1 ${FwCMD} add 6001 nat 1 ip from any to х.х.х.х via igb1 #Shape ${FwCMD} add 12001 pipe tablearg ip from any to table\(4\) via igb0 out ${FwCMD} add 12000 pipe tablearg ip from table\(3\) to any via igb0 in #redirekt ${FwCMD} add 7002 allow ip from table\(47\) to table\(22\) ${FwCMD} add 7002 allow ip from table\(22\) to table\(47\) ${FwCMD} add 7003 allow ip from table\(47\) to me dst-port 80 ${FwCMD} add 7003 allow ip from me to table\(47\) src-port 80 ${FwCMD} add 7004 fwd 127.0.0.1,80 ip from table\(47\) to not me dst-port 80 ${FwCMD} add 65533 deny all from table\(2\) to any via igb0 и совсем маленький OnConnect #SPEED CONTROL ${fwcmd} pipe `expr $ID + 101` config bw $UPSPEED$SCOUNT queue 32Kbytes ${fwcmd} pipe `expr $ID + 8101` config bw $SPEED$SCOUNT queue 32Kbytes ${fwcmd} table 47 delete $IP #new shaper ${fwcmd} table 3 add $IP `expr $ID + 101` ${fwcmd} table 4 add $IP `expr $ID + 8101` и все у тя будет работать Відредаговано 2015-09-21 06:35:19 DemonidZe Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас