Выделить определенному клиенту статический IP

[kuhar]

Всем, привет.

Пожалуйста, помогите настроить так, чтобы определенном клиенту выделялся один реальный ip, который бы не был привязан к моему серверу.
Сетевой интерфейс подключается по статике, ему принадлежит один статический ip, мне также пров предоставил еще один статический ip в этой подсети.
Можете пояснить логику предоставления ip клиенту?
Нужно ли его на сетевом интерфейсе в серваке алиасом добалять или нет?
В pf.conf нужно ли какие-то настройки вносить?

PS Пробовал добавить алиасом его и через binat отдать на нужного клиента, ip отдался все ок, но если в браузере внести ip то отобразится приветственное окно апатча моего сервера, чего не должно быть. 

[goletsa]

Вешайте апач не на 0.0.0.0:80 а только на нужные интерфейсы. Тоже и к другим сервисам относится.

[Rico-X]

Можно вот так:
В rc.conf

#SUPERVLAN
ifconfig_vlan6="inet XX.YYY.53.1 netmask 255.255.255.128 vlan 6 vlandev em1"
ifconfig_vlan7="inet XX.YYY.53.1 netmask 255.255.255.128 vlan 7 vlandev em1"
........
ifconfig_em1="up"

В роуты

/sbin/route add XX.YYY.53.2 -iface vlan6
/sbin/route add XX.YYY.53.3 -iface vlan7
.......

[poxy.]

У меня все сервисы (апач и т.д) висят каждый на своем адресе, на 0.0.0.0 ничего нет. Также проблема с выдачей белого ип (при заходе на белый адрес кидает на страницу заглушку).
Правило фаервола для заглушки

Код:

${f} add 60 fwd 127.0.0.1,82 tcp from not "table(0)" to not me dst-port 80 in

. Заранее благодарен за помощь.

[poxy.]

Нат на отдельной машине, страница заглушка находится на сервере биллинга.

[Rico-X]

Правило фаервола для заглушки ${f} add 60 fwd 127.0.0.1,82 tcp from not "table(0)" to not me dst-port 80

Код:

${f} add 60 fwd 127.0.0.1,82 tcp from not "table(0)" to not сетка ваших белых адресов dst-port 80

[poxy.]

Правило фаервола для заглушки ${f} add 60 fwd 127.0.0.1,82 tcp from not "table(0)" to not me dst-port 80

Код:

${f} add 60 fwd 127.0.0.1,82 tcp from not "table(0)" to not сетка ваших белых адресов dst-port 80

Попробовал утром, не работает ваше правило 

[Rico-X]

покажите весь фаирвол

[stix]

может открою страшную тайну.
для бината вешать алиасом не нужно на сетевой интерфейс сетевого адаптера.

уберите алиас и решите все проблемы

[poxy.]

покажите весь фаирвол

Код:

#!/bin/sh -
f='/sbin/ipfw'

ifOut='vlan77'

# Сети/адреса, в/из которых ВЕСЬ трафик запрещаем
${f} table 120 flush
${f} table 120 add 224.0.0.0/4
${f} table 120 add 10.10.1.0/24
${f} table 120 add 172.16.0.0/12
${f} table 120 add 192.168.0.0/16

# Сети/адреса, в/из которых ВЕСЬ трафик разрешаем
${f} table 36 flush
${f} table 36 add x.x.x.x/32 
${f} table 36 add x.x.x.y/32 

${f} table 36 add 62.149.25.124/32 #ukrpays.com
${f} table 36 add 184.73.55.73/32 #liqpay.com
${f} table 36 add 195.85.198.17/32 #secure.upc.ua
${f} table 36 add 217.117.65.235/32 # указано в мане в api ukrpays как разрешенное
${f} table 36 add 82.198.171.43/32 #c43-171-198-82.pool.globus-telecom.com
${f} table 36 add 212.118.48.43/32 #Merchant WebMoney Transfer
${f} table 36 add 87.118.97.138/32 #ns2.km22224-04.keymachine.de


${f} -f flush

#flow-tools
#${f} add 49 allow udp from 10.10.10.251 to me 8888

#sshd
${f} add 50 allow tcp from 10.10.7.0/25 to me 22
${f} add 51 allow tcp from me 22 to 10.10.7.0/25

#dns lookup
${f} add 52 allow udp from any to me 53
${f} add 53 allow udp from me 53 to any

#radius
#${f] add 54 allow udp from any to me 1812
#${f} add 55 allow udp from me 1812 to any
#${f} add 56 allow udp from any to me 1813
#${f} add 57 allow udp from me 1813 to any

${f} add 58 allow ip from any to "table(36)"
${f} add 59 allow ip from "table(36)" to any

#fwd block clients
${f} add 60 fwd 127.0.0.1,82 tcp from not "table(0)" to not me dst-port 80 in


${f} add 61 allow ip from 10.10.0.0/16 to 10.10.0.0/16

${f} add 62 allow ip from 10.5.0.0/16 to 10.5.0.0/16

${f} add 63 allow ip from 10.10.0.0/16 to 10.5.0.0/16

${f} add 64 allow ip from 10.5.0.0/16 to 10.10.0.0/16

${f} add 80 allow ip from 10.10.0.0/16 to 10.10.1.0/24
${f} add 81 allow ip from 10.10.1.0/24 to 10.10.0.0/16

${f} add 82 deny ip from 10.5.0.0/16 to 10.10.1.0/24
${f} add 83 deny ip from 10.10.1.0/24 to 10.5.0.0/16

#mysql
${f} add 88 allow tcp from 10.10.15.0/24 to me 3306
${f} add 89 allow tcp from me 3306 to 10.10.15.0/24

#snmp
${f} add 90 allow udp from 10.10.15.0/24 to me 161
${f} add 91 allow udp from me 161 to 10.10.15.0/24
${f} add 92 allow tcp from 10.10.15.0/24 to me 199
${f} add 93 allow tcp from me 199 to 10.10.15.0/24
${f} add 94 allow udp from x.x.x.x/23 to me 161
${f} add 95 allow udp from me 161 to x.x.x.x/23
${f} add 96 allow tcp from x.x.x.x/23 to me 199
${f} add 97 allow tcp from me 199 to x.x.x.x/23

${f} add 100 deny tcp from any to any 445

${f} add 110 allow ip from any to any via lo0
${f} add 120 skipto 1000 ip from me to any
${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${f} add 140 deny ip from any to "table(120)"
${f} add 150 deny ip from "table(120)" to any
${f} add 160 skipto 2000 ip from any to me

${f} add 200 skipto 500 ip from any to any via ${ifOut}

${f} add 300 skipto 4500 ip from any to any in

${f} add 400 skipto 450 ip from any to any recv ${ifOut}
${f} add 420 tee 1 ip from any to any
${f} add 450 tee 2 ip from any to any
${f} add 490 allow ip from any to any

${f} add 500 skipto 32500 ip from any to any in
${f} add 510 tee 1 ip from any to any
${f} add 540 allow ip from any to any

${f} add 1000 allow udp from any 53,7723 to any
${f} add 1010 allow tcp from any to any setup keep-state
${f} add 1020 allow udp from any to any keep-state
${f} add 1100 allow ip from any to any

${f} add 2000 check-state
${f} add 2010 allow icmp from any to any
${f} add 2020 allow tcp from any to any 80,443
${f} add 2050 deny ip from any to any via ${ifOut}
${f} add 2060 allow udp from any to any 53,7723

${f} add 2100 deny ip from any to any

${f} add 32490 deny ip from any to any

[poxy.]

На данном сервере только шейпер, за ним стоит бордер (микротик) который держить бгп и выдает белые ип натом (src+dst).

[Rico-X]

Попробуйте так, как я понимаю все вашие белые выдаваемые адреса есть в таблице 0

Код:

${f} add 60 fwd 127.0.0.1,82 tcp from not "table(0)" to not "table(0)" dst-port 80 in

Правила с 61 по 83 режут по глазам, не проще сделать както так

Код:

${f} add 61 allow ip from "table(0)" to "table(0)"

Кучу правил разрешающих коннект с самого сервера можно заменить на

Код:

allow ip from me to any

[poxy.]

Попробуйте так, как я понимаю все вашие белые выдаваемые адреса есть в таблице 0

Код:

${f} add 60 fwd 127.0.0.1,82 tcp from not "table(0)" to not "table(0)" dst-port 80 in

Правила с 61 по 83 режут по глазам, не проще сделать както так

Код:

${f} add 61 allow ip from "table(0)" to "table(0)"

Кучу правил разрешающих коннект с самого сервера можно заменить на

Код:

allow ip from me to any

Нет, в таблице 0 - серые. Структура такая:
данный сервер (шейпер ipfw+база биллига, ип серые, ната нет) - бордер (нат, куос, бгп). Белые выдаются связкой src+dst nat на серый ип клиента. В таблице 0 только серые ип.

[poxy.]

Эта кучка правил, которую вы заменили этим :

Код:

${f} add 61 allow ip from "table(0)" to "table(0)"

разрешает определенным подсетям доступ к иптв серверу и между определенными вланами. Поэтому разрешать все нельзя (может не кошерно , но все же). Когда строил правила, придерживался принципа - запретить все и потом разрешать, поэтому вам наверно показалось что проще заменить несколько на одно. В любом случае Спасибо за помощь, нынешнюю и дальнейшую (думаю обоюдную)  .

[poxy.]

Блин, ночь, пиво, туплю... Правила с 61 по 81 согласен заменить на

Код:

${f} add 61 allow ip from "table(0)" to "table(0)"

, получится что доступ между собой будут иметь только те кому доступ в инет разрешен. А 82,83 - это правила которые запрещают доступ клиентам из 10.5.0.0/16 доступ к серверам в подсети 10.10.1.0/24. Их так и оставить?
PS влан с оборудованием находится в сети 10.10.15.0/24 при таком

Код:

${f} add 61 allow ip from "table(0)" to "table(0)"

будет ли ходить из этого влана в остальные подсети? Т.е из таблицы 0 в нее же понятно, а серверам между собой не поблочит?
PPS сервер боевой, эксперименты недопустимы..., поэтому и куча вопросов.