Биллинговая система Nodeny

Главная категория => Nodeny Plus => Тема начата: vddav от 29 Мая 2022, 13:33:35


Название: фаервол и направления
Отправлено: vddav от 29 Мая 2022, 13:33:35
есть такая схема
Цитировать
Приоритет   Сеть               Порт   Направление
300           0.0.0.0/0           0   Интернет      
1000         11.22.33.44/32   0   TV

задача - есть абоны, которым надо только айпитв, интернет надо заблочить.
при такой схеме, при создании тарифа не указывая скорость в первом направлении создается пайп в первом направлении.
при просмотре nofire есть строка
Цитировать
    #  Если у направления не указана скорость - трафик направления попадает в пайп 1го направления
получается что 0.0.0.0/0 надо перенести во второе направление а тв на первое, но тогда в фаерволе трафик всех пользователей пойдет через еще одно правило + надо переделать все тарифы - как бы не очень вариант.
вопрос - что дает для чего нужен приоритет в указании направлений. и самое главное для чего такая конструкция что если не указана скорость все равно создается пайп и соответственно в 21 таблице есть ип клиента с айпитв. можно ли отключит это поведение и чем будет чревато? 

Название: Re: фаервол и направления
Отправлено: cojiict от 07 Июня 2022, 08:41:18
створюєш тариф "TV" і виставляєш бажану пропускну здатність для твого напрямку "Входящая скорость 3","Исходящая скорость 3"
Добавляєш тариф клієнту і в відповідній таблиці до напрямку ствоюються пайпи.
Код:
ipfw table all list |grep table

Дивишся в яку таблицю попадають твої ІР
Код:
ipfw table all list |grep 'table\|10.102.0.20'
Підганяєш свій фаєр щоб дозволяти напрямок тільки тим хто є в таблиці і не забуваєш заборонити решті
щось приблизно таке:
Код:
ipfw add 1 allow ip from table 33 to 11.22.33.44
ipfw add 1 allow ip from 11.22.33.44 to table 33
ipfw add 1 deny all from any to 11.22.33.44

Цитата: vddav от 29 Мая 2022, 13:33:35
можно ли отключит это поведение и чем будет чревато? 

Для напрямку 1 ставиш швидкість 0.1

Название: Re: фаервол и направления
Отправлено: vddav от 07 Июня 2022, 13:02:02
Цитировать
Для напрямку 1 ставиш швидкість 0.1
так правила для 1 направления идут первыми, трафик на тв попадает в маску 0.0.0.0/0 и соответственно будет  резать скорость на 0.1.
вы же предлагаете закинуть правила для второго/третьего направления в начало фаервола, что я считаю, не по фен-шую).
не понятно для чего сделали - если не указана скорость то ставим какое то дефолтное значение - я считаю что если в тарифе не указал скорость для какого то направления то и не надо создавать пайпы и добавлять ипы в таблицу. по такой логике надо интернет (маска 0.0.0.0/0) надо изначально ставить в последнее направление. получается что любой тариф создает пайп в первом направлении.
конкретно в моем случае я пришел к варианту  сделать отдельный влан, без инета ( к примеру серые айпи без NATа) только до тв и все. но в будущем могут быть пакеты тв или еще как то задействуются направления. плюс решение с отдельным вланом такое себе - т.к. до клиента нужно его настроить.


Powered by SMF 1.1.20 | SMF © 2006-2009, Simple Machines