Биллинговая система Nodeny
23 Ноября 2024, 00:05:32 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
Новости: Прекращена поддержка версии Nodeny 49
 
   Начало   Помощь Поиск Войти Регистрация  
Страниц: [1] 2
  Печать  
Автор Тема: Выделить определенному клиенту статический IP  (Прочитано 12127 раз)
kuhar
NoDeny
Постоялец
*

Карма: 0
Offline Offline

Сообщений: 128


Просмотр профиля
« : 12 Апреля 2012, 15:11:19 »

Всем, привет.

Пожалуйста, помогите настроить так, чтобы определенном клиенту выделялся один реальный ip, который бы не был привязан к моему серверу.
Сетевой интерфейс подключается по статике, ему принадлежит один статический ip, мне также пров предоставил еще один статический ip в этой подсети.
Можете пояснить логику предоставления ip клиенту?
Нужно ли его на сетевом интерфейсе в серваке алиасом добалять или нет?
В pf.conf нужно ли какие-то настройки вносить?

PS Пробовал добавить алиасом его и через binat отдать на нужного клиента, ip отдался все ок, но если в браузере внести ip то отобразится приветственное окно апатча моего сервера, чего не должно быть. 
Записан
goletsa
NoDeny
Спец
*

Карма: 21
Offline Offline

Сообщений: 973


Просмотр профиля
« Ответ #1 : 12 Апреля 2012, 16:35:08 »

Вешайте апач не на 0.0.0.0:80 а только на нужные интерфейсы. Тоже и к другим сервисам относится.
Записан
Rico-X
NoDeny
Старожил
*

Карма: 7
Offline Offline

Сообщений: 349


Просмотр профиля
« Ответ #2 : 12 Апреля 2012, 16:40:31 »

Можно вот так:
В rc.conf

#SUPERVLAN
ifconfig_vlan6="inet XX.YYY.53.1 netmask 255.255.255.128 vlan 6 vlandev em1"
ifconfig_vlan7="inet XX.YYY.53.1 netmask 255.255.255.128 vlan 7 vlandev em1"
........
ifconfig_em1="up"

В роуты

/sbin/route add XX.YYY.53.2 -iface vlan6
/sbin/route add XX.YYY.53.3 -iface vlan7
.......
Записан
poxy.
NoDeny
Спец
*

Карма: 10
Offline Offline

Сообщений: 844



Просмотр профиля
« Ответ #3 : 12 Апреля 2012, 17:33:25 »

У меня все сервисы (апач и т.д) висят каждый на своем адресе, на 0.0.0.0 ничего нет. Также проблема с выдачей белого ип (при заходе на белый адрес кидает на страницу заглушку).
Правило фаервола для заглушки
Код:
${f} add 60 fwd 127.0.0.1,82 tcp from not "table(0)" to not me dst-port 80 in
. Заранее благодарен за помощь.
Записан
poxy.
NoDeny
Спец
*

Карма: 10
Offline Offline

Сообщений: 844



Просмотр профиля
« Ответ #4 : 12 Апреля 2012, 17:34:42 »

Нат на отдельной машине, страница заглушка находится на сервере биллинга.
Записан
Rico-X
NoDeny
Старожил
*

Карма: 7
Offline Offline

Сообщений: 349


Просмотр профиля
« Ответ #5 : 12 Апреля 2012, 19:36:29 »

Правило фаервола для заглушки ${f} add 60 fwd 127.0.0.1,82 tcp from not "table(0)" to not me dst-port 80
Код:
${f} add 60 fwd 127.0.0.1,82 tcp from not "table(0)" to not сетка ваших белых адресов dst-port 80
Записан
poxy.
NoDeny
Спец
*

Карма: 10
Offline Offline

Сообщений: 844



Просмотр профиля
« Ответ #6 : 13 Апреля 2012, 07:35:01 »

Правило фаервола для заглушки ${f} add 60 fwd 127.0.0.1,82 tcp from not "table(0)" to not me dst-port 80
Код:
${f} add 60 fwd 127.0.0.1,82 tcp from not "table(0)" to not сетка ваших белых адресов dst-port 80
Попробовал утром, не работает ваше правило  Грустный
Записан
Rico-X
NoDeny
Старожил
*

Карма: 7
Offline Offline

Сообщений: 349


Просмотр профиля
« Ответ #7 : 13 Апреля 2012, 08:50:53 »

покажите весь фаирвол
Записан
stix
NoDeny
Спец
*

Карма: 72
Offline Offline

Сообщений: 1872


Nodeny Support Team

205539
Просмотр профиля
« Ответ #8 : 13 Апреля 2012, 09:13:14 »

может открою страшную тайну.
для бината вешать алиасом не нужно на сетевой интерфейс сетевого адаптера.

уберите алиас и решите все проблемы
Записан
poxy.
NoDeny
Спец
*

Карма: 10
Offline Offline

Сообщений: 844



Просмотр профиля
« Ответ #9 : 13 Апреля 2012, 15:07:22 »

покажите весь фаирвол
Код:
#!/bin/sh -
f='/sbin/ipfw'

ifOut='vlan77'

# Сети/адреса, в/из которых ВЕСЬ трафик запрещаем
${f} table 120 flush
${f} table 120 add 224.0.0.0/4
${f} table 120 add 10.10.1.0/24
${f} table 120 add 172.16.0.0/12
${f} table 120 add 192.168.0.0/16

# Сети/адреса, в/из которых ВЕСЬ трафик разрешаем
${f} table 36 flush
${f} table 36 add x.x.x.x/32
${f} table 36 add x.x.x.y/32

${f} table 36 add 62.149.25.124/32 #ukrpays.com
${f} table 36 add 184.73.55.73/32 #liqpay.com
${f} table 36 add 195.85.198.17/32 #secure.upc.ua
${f} table 36 add 217.117.65.235/32 # указано в мане в api ukrpays как разрешенное
${f} table 36 add 82.198.171.43/32 #c43-171-198-82.pool.globus-telecom.com
${f} table 36 add 212.118.48.43/32 #Merchant WebMoney Transfer
${f} table 36 add 87.118.97.138/32 #ns2.km22224-04.keymachine.de


${f} -f flush

#flow-tools
#${f} add 49 allow udp from 10.10.10.251 to me 8888

#sshd
${f} add 50 allow tcp from 10.10.7.0/25 to me 22
${f} add 51 allow tcp from me 22 to 10.10.7.0/25

#dns lookup
${f} add 52 allow udp from any to me 53
${f} add 53 allow udp from me 53 to any

#radius
#${f] add 54 allow udp from any to me 1812
#${f} add 55 allow udp from me 1812 to any
#${f} add 56 allow udp from any to me 1813
#${f} add 57 allow udp from me 1813 to any

${f} add 58 allow ip from any to "table(36)"
${f} add 59 allow ip from "table(36)" to any

#fwd block clients
${f} add 60 fwd 127.0.0.1,82 tcp from not "table(0)" to not me dst-port 80 in


${f} add 61 allow ip from 10.10.0.0/16 to 10.10.0.0/16

${f} add 62 allow ip from 10.5.0.0/16 to 10.5.0.0/16

${f} add 63 allow ip from 10.10.0.0/16 to 10.5.0.0/16

${f} add 64 allow ip from 10.5.0.0/16 to 10.10.0.0/16

${f} add 80 allow ip from 10.10.0.0/16 to 10.10.1.0/24
${f} add 81 allow ip from 10.10.1.0/24 to 10.10.0.0/16

${f} add 82 deny ip from 10.5.0.0/16 to 10.10.1.0/24
${f} add 83 deny ip from 10.10.1.0/24 to 10.5.0.0/16

#mysql
${f} add 88 allow tcp from 10.10.15.0/24 to me 3306
${f} add 89 allow tcp from me 3306 to 10.10.15.0/24

#snmp
${f} add 90 allow udp from 10.10.15.0/24 to me 161
${f} add 91 allow udp from me 161 to 10.10.15.0/24
${f} add 92 allow tcp from 10.10.15.0/24 to me 199
${f} add 93 allow tcp from me 199 to 10.10.15.0/24
${f} add 94 allow udp from x.x.x.x/23 to me 161
${f} add 95 allow udp from me 161 to x.x.x.x/23
${f} add 96 allow tcp from x.x.x.x/23 to me 199
${f} add 97 allow tcp from me 199 to x.x.x.x/23

${f} add 100 deny tcp from any to any 445

${f} add 110 allow ip from any to any via lo0
${f} add 120 skipto 1000 ip from me to any
${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${f} add 140 deny ip from any to "table(120)"
${f} add 150 deny ip from "table(120)" to any
${f} add 160 skipto 2000 ip from any to me

${f} add 200 skipto 500 ip from any to any via ${ifOut}

${f} add 300 skipto 4500 ip from any to any in

${f} add 400 skipto 450 ip from any to any recv ${ifOut}
${f} add 420 tee 1 ip from any to any
${f} add 450 tee 2 ip from any to any
${f} add 490 allow ip from any to any

${f} add 500 skipto 32500 ip from any to any in
${f} add 510 tee 1 ip from any to any
${f} add 540 allow ip from any to any

${f} add 1000 allow udp from any 53,7723 to any
${f} add 1010 allow tcp from any to any setup keep-state
${f} add 1020 allow udp from any to any keep-state
${f} add 1100 allow ip from any to any

${f} add 2000 check-state
${f} add 2010 allow icmp from any to any
${f} add 2020 allow tcp from any to any 80,443
${f} add 2050 deny ip from any to any via ${ifOut}
${f} add 2060 allow udp from any to any 53,7723

${f} add 2100 deny ip from any to any

${f} add 32490 deny ip from any to any
« Последнее редактирование: 13 Апреля 2012, 15:17:09 от marcus7 » Записан
poxy.
NoDeny
Спец
*

Карма: 10
Offline Offline

Сообщений: 844



Просмотр профиля
« Ответ #10 : 13 Апреля 2012, 15:14:10 »

На данном сервере только шейпер, за ним стоит бордер (микротик) который держить бгп и выдает белые ип натом (src+dst).
Записан
Rico-X
NoDeny
Старожил
*

Карма: 7
Offline Offline

Сообщений: 349


Просмотр профиля
« Ответ #11 : 13 Апреля 2012, 17:45:04 »

Попробуйте так, как я понимаю все вашие белые выдаваемые адреса есть в таблице 0
Код:
${f} add 60 fwd 127.0.0.1,82 tcp from not "table(0)" to not "table(0)" dst-port 80 in
Правила с 61 по 83 режут по глазам, не проще сделать както так
Код:
${f} add 61 allow ip from "table(0)" to "table(0)"
Кучу правил разрешающих коннект с самого сервера можно заменить на
Код:
allow ip from me to any
Записан
poxy.
NoDeny
Спец
*

Карма: 10
Offline Offline

Сообщений: 844



Просмотр профиля
« Ответ #12 : 13 Апреля 2012, 21:56:50 »

Попробуйте так, как я понимаю все вашие белые выдаваемые адреса есть в таблице 0
Код:
${f} add 60 fwd 127.0.0.1,82 tcp from not "table(0)" to not "table(0)" dst-port 80 in
Правила с 61 по 83 режут по глазам, не проще сделать както так
Код:
${f} add 61 allow ip from "table(0)" to "table(0)"
Кучу правил разрешающих коннект с самого сервера можно заменить на
Код:
allow ip from me to any
Нет, в таблице 0 - серые. Структура такая:
данный сервер (шейпер ipfw+база биллига, ип серые, ната нет) - бордер (нат, куос, бгп). Белые выдаются связкой src+dst nat на серый ип клиента. В таблице 0 только серые ип.
Записан
poxy.
NoDeny
Спец
*

Карма: 10
Offline Offline

Сообщений: 844



Просмотр профиля
« Ответ #13 : 13 Апреля 2012, 22:02:23 »

Эта кучка правил, которую вы заменили этим :
Код:
${f} add 61 allow ip from "table(0)" to "table(0)"
разрешает определенным подсетям доступ к иптв серверу и между определенными вланами. Поэтому разрешать все нельзя (может не кошерно Улыбающийся, но все же). Когда строил правила, придерживался принципа - запретить все и потом разрешать, поэтому вам наверно показалось что проще заменить несколько на одно. В любом случае Спасибо за помощь, нынешнюю и дальнейшую (думаю обоюдную)  Подмигивающий.
« Последнее редактирование: 13 Апреля 2012, 22:07:11 от marcus7 » Записан
poxy.
NoDeny
Спец
*

Карма: 10
Offline Offline

Сообщений: 844



Просмотр профиля
« Ответ #14 : 13 Апреля 2012, 22:23:00 »

Блин, ночь, пиво, туплю... Правила с 61 по 81 согласен заменить на
Код:
${f} add 61 allow ip from "table(0)" to "table(0)"
, получится что доступ между собой будут иметь только те кому доступ в инет разрешен. А 82,83 - это правила которые запрещают доступ клиентам из 10.5.0.0/16 доступ к серверам в подсети 10.10.1.0/24. Их так и оставить?
PS влан с оборудованием находится в сети 10.10.15.0/24 при таком
Код:
${f} add 61 allow ip from "table(0)" to "table(0)"
будет ли ходить из этого влана в остальные подсети? Т.е из таблицы 0 в нее же понятно, а серверам между собой не поблочит?
PPS сервер боевой, эксперименты недопустимы..., поэтому и куча вопросов.
« Последнее редактирование: 13 Апреля 2012, 22:28:34 от marcus7 » Записан
Страниц: [1] 2
  Печать  
 
Перейти в:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.20 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!