rusol
NoDeny
Пользователь
Карма: 0
 Offline
Сообщений: 59
|
 |
« : 25 Ноября 2009, 11:18:18 » |
|
Здраствуйте, как правильно организовать выделенные адреса клиентам? Помимо правила в PF на интерфейсе обязательно делать алиас с указанным адресом? Раньше юзал ipnat, дак там не нужно было алиасы создавать на каджий IP.
|
|
|
|
|
Записан
|
|
|
|
Andrey Zentavr
NoDeny
Старожил
Карма: 29
Offline
Сообщений: 301
|
|
« Ответ #1 : 25 Ноября 2009, 12:07:12 » |
|
Админ одной из сетей города-героя Запорожье мне утерждал что для этого прописывать реалИП на интерфейсе ненужно. Он вроде юзает PF binat для этого.
Я же считаю, что реальный ИП пользователя должен быть у пользователя, а не пробрасываться всякими там натами. Посему отдаю реалИПы с помошью PPPoE
|
|
|
|
|
Записан
|
|
|
|
rusol
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 59
|
|
« Ответ #2 : 25 Ноября 2009, 12:09:48 » |
|
Ну я тоже настроил с помощью binat и на интерфейсе не прописывал, тестил, все работает вроде, работаем без авторизаторов, посему pppoe для нас - не выход. А интересно, кто еще как предоставляет внешние адреса клиентам?
|
|
|
|
|
Записан
|
|
|
|
Andrey Zentavr
NoDeny
Старожил
Карма: 29
Offline
Сообщений: 301
|
|
« Ответ #3 : 25 Ноября 2009, 13:51:33 » |
|
работаем без авторизаторов, посему pppoe для нас - не выход.
Ну так ПППоЕ и работает без авторизатора. |
|
|
|
|
Записан
|
|
|
|
rusol
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 59
|
|
« Ответ #4 : 25 Ноября 2009, 14:23:28 » |
|
Я имел в виду, мы работаем без всяких авторизаторов и вводить такое в планах нету.  |
|
|
|
|
Записан
|
|
|
|
Elisium
NoDeny
Старожил
Карма: 19
Offline
Сообщений: 360
На форумах "спасибом" называется плюс к карме.
|
|
« Ответ #5 : 25 Ноября 2009, 15:17:27 » |
|
Для раздачи белых ипов используем бинат в ПФ ..
Быстро дешево удобно)))
От клиентов жалоб на какие то несовместимости не поступало ...
|
|
|
|
|
Записан
|
|
|
|
rusol
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 59
|
|
« Ответ #6 : 25 Ноября 2009, 16:21:05 » |
|
Спасибо |
|
|
|
|
Записан
|
|
|
|
rusol
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 59
|
|
« Ответ #7 : 25 Ноября 2009, 19:07:29 » |
|
Все таки беда какая-то, перестает работать интернет у клиентов, которых включен выделенный ip через binat, вот конфиг: set limit states 128000
set optimization aggressive
nat pass on em1 from 10.0.0.0/8 to any -> em1
nat pass on em1 from 192.168.0.0/16 to any -> em1
binat on em1 from 192.168.1.76 to any -> ip1
binat on em1 from 192.168.0.120 to any -> ip2
binat on em1 from 192.168.0.73 to any -> ip3
binat on em1 from 192.168.0.54 to any -> ip4
binat on em1 from 192.168.1.25 to any -> ip5
rdr on em1 proto tcp from any to ip0 port 80 -> 10.0.0.1
rdr on em1 proto udp from any to ip0 port 27015 -> 192.168.0.6
rdr on em1 proto tcp from any to ip0 port 9219 -> 192.168.0.4
может я в конфиге чето не так сделал. |
|
|
|
|
Записан
|
|
|
|
goletsa
NoDeny
Спец
Карма: 21
Offline
Сообщений: 973
|
|
« Ответ #8 : 25 Ноября 2009, 19:13:41 » |
|
Все таки беда какая-то, перестает работать интернет у клиентов, которых включен выделенный ip через binat, вот конфиг: set limit states 128000
set optimization aggressive
nat pass on em1 from 10.0.0.0/8 to any -> em1
nat pass on em1 from 192.168.0.0/16 to any -> em1
binat on em1 from 192.168.1.76 to any -> ip1
binat on em1 from 192.168.0.120 to any -> ip2
binat on em1 from 192.168.0.73 to any -> ip3
binat on em1 from 192.168.0.54 to any -> ip4
binat on em1 from 192.168.1.25 to any -> ip5
rdr on em1 proto tcp from any to ip0 port 80 -> 10.0.0.1
rdr on em1 proto udp from any to ip0 port 27015 -> 192.168.0.6
rdr on em1 proto tcp from any to ip0 port 9219 -> 192.168.0.4
может я в конфиге чето не так сделал. Сдвиньте правила nat ниже binat'а |
|
|
|
|
Записан
|
|
|
|
rusol
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 59
|
|
« Ответ #9 : 26 Ноября 2009, 13:09:28 » |
|
Сдвинул, уже пол суток работает нормально, спасибо, у меня в ipnat тоже были сдвинуты, а здесь почему-то упустил этот момент.
|
|
|
|
|
Записан
|
|
|
|
andreit2
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 14
|
|
« Ответ #10 : 26 Декабря 2009, 17:59:27 » |
|
Я же считаю, что реальный ИП пользователя должен быть у пользователя, а не пробрасываться всякими там натами. Посему отдаю реалИПы с помошью PPPoE
Я тоже выдаю пользователю реалИПы с помощью РРРоЕ, но у меня впрос, как ети реалИПы увидеть с внешнего мира. Пробовал добавлять правила в ipfw то скорость не режется. Наверное надо сдвинуть разрешающие правила ниже? |
|
|
|
|
Записан
|
|
|
|
Aivanzipper
NoDeny
Старожил
Карма: 62
Offline
Сообщений: 387
|
|
« Ответ #11 : 25 Января 2010, 15:29:09 » |
|
Попробовал дать белый ип бината и алиаса на внешней сетевухе - получилось. Теперь хочется дать белый ип посредством его прописывания клиенту в биллинге, т.е. чтобы юзер в свойствах PPPOE-подключения видел свой внешний адрес. Я так понимаю, алиас нужно убрать, бинат оставить и просить верхнего провайдера прописать на своем шлюзе маршрут для этих адресов с указанием гетевея в виде моего сервера. Либо если стоит свой маршрутизатор, то на нем. Я все правильно понимаю? |
|
|
|
|
Записан
|
|
|
|
goletsa
NoDeny
Спец
Карма: 21
Offline
Сообщений: 973
|
|
« Ответ #12 : 25 Января 2010, 16:34:45 » |
|
Бинат убирается.
Кусок подсети надо промаршрутизировать на PPPoE сервер.
|
|
|
|
|
Записан
|
|
|
|
Aivanzipper
NoDeny
Старожил
Карма: 62
Offline
Сообщений: 387
|
|
« Ответ #13 : 25 Января 2010, 16:53:10 » |
|
Да, точно - бинат не нужен. Нужна маршрутизация и все, чтобы верхний шлюз знал куда ломиться
|
|
|
|
|
Записан
|
|
|
|
poxy.
NoDeny
Спец
Карма: 10
Offline
Сообщений: 844
|
|
« Ответ #14 : 27 Января 2010, 12:14:47 » |
|
Прошу подсказать и не пинать)
в сети все на авторизаторах ,всем выданы по dhcp статические адреса
пытаюсь пробросить на адрес 10.10.10.84 внешний 1.2.3.4 для этого в настройках добавил алиас,после в pf.conf перед правилами ната
binat on em0 from 10.10.10.84 to any ->1.2.3.4 (em0 смотрит в мир)
фаервол из подставки ноудени "Фаервол, предусматривающий реальные ip клиентов, управление скоростями, снятие статистики ядром NoDeny."
алиасов на сетевой нет
в чем может быть проблема ?Всем заранее спасибо!
|
|
|
|
|
Записан
|
|
|
|
|
