Биллинговая система Nodeny

Всем добрый день!
в pf.conf настроен нат и натит он подсеть на внешний интерфейс ..после проброса бинатом белого айпи на юзера заметил забавную ситуацию
у данного юзера норм он получает указанный айпи ,а остальные получают вместо постоянного айпи на выходе еще и тот что выдан юзеру :oотсюда вопрос можно ли в пф написать правило типа нат не на весь интерфейс на на один белый айпи ?
Всем заранее Спасибо!

Я так понял оно у тебя так вигледит
binat on em0 inet from y.y.y.y to any -> xxx.xxx.xxx.xxx

nat pass on em0 from y.y.y.y/z to any -> em0
 
У меня при таком виде тоже чьота постоянние попадают под роздачю всем.

Да именно так и выглядит((Незнаешь как решить?Я просто думаю в сторону того чтоб вместо интерфейса в нате указать айпи через который юзеры должны ходить...но экспериментов делать неохота ;D

Вообщето мне советовали и в нете писло делать ето так
nat pass on em0 from y.y.y.y/z to any -> xxx.xxx.xxx.xxx/z source-hash
Тока у меня не проконало. У меня после етого по всей сети нет упал.

Я тож так пробовал и тож ничего хорошего >:(

ну ти хочеш тупо штоб все бегали через один ip а избрание через тобою виделение ?

да

http://forum.nodeny.com.ua/index.php?topic=442.msg4284#msg4284

Тагда должно работать вот так nat pass on em0 from y.y.y.y/z to any -> xxx.xxx.xxx.xxx
и бинатом избраних награди. Тока я в етом не уверен. Нада пробивать полюбому.

Ну рс не причьом. Вот пф меня начинает настараживать. После того как подцепил на сетевуху ипи начались глюки. Не магу понять што ето такое. Толі наш провайдер толі пф. Хатя с чего пф мог ето делать. НО нет падает и падает пачемута под вечер.
nat pass on em0 from 192.168.0.0/16 to any -> em0

Ну, тогда гадание на кофейной гуще - это не наш профиль.
Разбирайтесь или сами или с провайдером.

192.168.0.0/16 to any -> real ip

Якщо так то не працюють файлообмінники. Він рендом почниає давати. Треба думати як це все зробити через sorce-hash

это nat а не binat

Тут уже в двух темах все разжевано с подробными примерами.
Если и после этого непонятно, то нечего заниматься не своим делом.

192.168.0.0/16 to any -> real ip
От якщо так написано то пойми шо це означає. Да діло то понятне як воно робиться. Суть в тому шо результат виходить. В одному випадку страдають файлообмінники, а в іншому починає видавати броадкаст и шлюз людям. Буду пробувати варіанти. Можливо щось з того і получиться.

тогда я нуб... конкретно поясни вопрос и будет тебе ответ...
ee /etc/pf.conf
например 192.168.0.0/16 to any -> 80.92.33.45
Это нат где 80.92.33.45 айпи на ккоторый маршрутизируется подсеть 192.168.0.0/16
если хочешь дать машинке в сети реал айпи тогдаследующая строка... например:
binat on em0  from 192.168.0.3 to any -> 80.92.33.46
ПРИ ЭТОМ 80.92.33.46 должен быть прописан альясом на внешней сетевухе... например:
ee /etc/rc.conf
ifconfig_em0="inet 80.92.33.45  netmask 255.255.255.0" #основной айпи
ifconfig_em0_alias0="inet 80.92.33.46 netmask 255.255.255.0" # альяс
ifconfig_em0_alias1="inet 80.92.33.47 netmask 255.255.255.0" # альяс

Це ти описав сам бінат. Але інші машинки тоже ж виходять в інтернет. Смисол проблеми був в тому що інші компустери тоже виходять через то шо ти алисом завязав. Я зробив ось так

binat on em0  from 192.168.0.3 to any -> yyy.yyy.yyy.yyy
nat pass on $ext_if from 192.168.0.0/16 to any -> {xxx.xxx.108.126, xxx.xxx.xxx.xxx} round-robin sticky-address

Сутки вже працює, і жалоб від клієнтів що щось не робить тоже нема.

я тебе описал и нат и бинат!
192.168.0.0/16 to any -> 80.92.33.45 - для інших "компустеров" :)
binat on em0  from 192.168.0.3 to any -> 80.92.33.46 - для "обраних"
смисл в том что нужно писать не название интерфейса, а конкретно айпи...
короче у меня работает все так как я написал, и никому ничего лишнего не дается :)

Вы знаете, у меня даже работала такая схема:

binat on em0 from 10.0.10.4 to any -> ххх.ххх.209.30
binat on em0 from 10.10.10.2 to any -> ххх.ххх.209.27
binat on em0 from 10.10.10.1 to any -> ххх.ххх.209.28
nat pass on em0 from 10.0.0.0/8 to any -> em0

т.е. "избранные" получали свои внешние адреса, а все остальные бегали через ВСЕ алиасы сетевухи em0, включая адреса "избранных"  :) я сначала не мог понять, почему внешние адреса рандомом выдаются, а потом поправил конфиг на вот такой

nat pass on em0 from 10.0.0.0/8 to any -> ххх.ххх.209.26

и сразу наступила ясность.
ЗЫ все-таки pf сильная штука!

да у меня тоже так работало но 10 минут пока я не увидел что при переходе обычным клиентом каждый раз давало разный айпи...  :)

Да єсть такое. Если я не ошибаюсь, тоесть метод роунд-робин. А при етом варианте штоб каждий раз не меняло нада сказать што ип висит на клиенте до конца сесии. Типа так
nat pass on $ext_if from 192.168.0.0/16 to any -> {xxx.xxx.108.126, xxx.xxx.xxx.xxx} round-robin sticky-address
"sticky-address" Вот ета штука и говорит pf што нада держать етот ип пока не закончится сесия.

А как можно избавить вообще от Бината?

Допустим у меня есть сетка выданая райпом ххх.ххх.ххх.ххх/23

Сейчас адреса выдаю бинатом, но тогда работает не совсем полноцено, с внешника работает, а с локалки нет.

А как именно напрямую выдавать через mpd4 людям адреса?

Да сколько можно-то??

http://forum.nodeny.com.ua/index.php?topic=344.msg3194#msg3194

Все от того что нет понимания что такое нат, бинат и почему прописав клиенту белый айпи оно будет/не будет  работать...
такие вот сисадмины... даже поиском пользоватся не могут

Поправьте меня, но даже я понимаю, что нат это трансляция серых адресов в белые, а бинат обратное действие.
А выдача клиенту булого ИПа, это совсем другая кухня, это без ната и бината делается

Поправляю, НАТ по сути это только трансляция, не обязательно белых в серые. Ситуации совсем разные бывают.