binat и pf белые айпи

[Dr.zlo]

192.168.0.0/16 to any -> real ip
От якщо так написано то пойми шо це означає. Да діло то понятне як воно робиться. Суть в тому шо результат виходить. В одному випадку страдають файлообмінники, а в іншому починає видавати броадкаст и шлюз людям. Буду пробувати варіанти. Можливо щось з того і получиться.

[chupyc]

тогда я нуб... конкретно поясни вопрос и будет тебе ответ...
ee /etc/pf.conf
например 192.168.0.0/16 to any -> 80.92.33.45
Это нат где 80.92.33.45 айпи на ккоторый маршрутизируется подсеть 192.168.0.0/16
если хочешь дать машинке в сети реал айпи тогдаследующая строка... например:
binat on em0  from 192.168.0.3 to any -> 80.92.33.46
ПРИ ЭТОМ 80.92.33.46 должен быть прописан альясом на внешней сетевухе... например:
ee /etc/rc.conf
ifconfig_em0="inet 80.92.33.45  netmask 255.255.255.0" #основной айпи
ifconfig_em0_alias0="inet 80.92.33.46 netmask 255.255.255.0" # альяс
ifconfig_em0_alias1="inet 80.92.33.47 netmask 255.255.255.0" # альяс

[Dr.zlo]

тогда я нуб... конкретно поясни вопрос и будет тебе ответ...
ee /etc/pf.conf
например 192.168.0.0/16 to any -> 80.92.33.45
Это нат где 80.92.33.45 айпи на ккоторый маршрутизируется подсеть 192.168.0.0/16
если хочешь дать машинке в сети реал айпи тогдаследующая строка... например:
binat on em0  from 192.168.0.3 to any -> 80.92.33.46
ПРИ ЭТОМ 80.92.33.46 должен быть прописан альясом на внешней сетевухе... например:
ee /etc/rc.conf
ifconfig_em0="inet 80.92.33.45  netmask 255.255.255.0" #основной айпи
ifconfig_em0_alias0="inet 80.92.33.46 netmask 255.255.255.0" # альяс
ifconfig_em0_alias1="inet 80.92.33.47 netmask 255.255.255.0" # альяс

Це ти описав сам бінат. Але інші машинки тоже ж виходять в інтернет. Смисол проблеми був в тому що інші компустери тоже виходять через то шо ти алисом завязав. Я зробив ось так

binat on em0  from 192.168.0.3 to any -> yyy.yyy.yyy.yyy
nat pass on $ext_if from 192.168.0.0/16 to any -> {xxx.xxx.108.126, xxx.xxx.xxx.xxx} round-robin sticky-address

Сутки вже працює, і жалоб від клієнтів що щось не робить тоже нема.

[chupyc]

я тебе описал и нат и бинат!
192.168.0.0/16 to any -> 80.92.33.45 - для інших "компустеров"
binat on em0  from 192.168.0.3 to any -> 80.92.33.46 - для "обраних"
смисл в том что нужно писать не название интерфейса, а конкретно айпи...
короче у меня работает все так как я написал, и никому ничего лишнего не дается

[Aivanzipper]

Вы знаете, у меня даже работала такая схема:

binat on em0 from 10.0.10.4 to any -> ххх.ххх.209.30
binat on em0 from 10.10.10.2 to any -> ххх.ххх.209.27
binat on em0 from 10.10.10.1 to any -> ххх.ххх.209.28
nat pass on em0 from 10.0.0.0/8 to any -> em0

т.е. "избранные" получали свои внешние адреса, а все остальные бегали через ВСЕ алиасы сетевухи em0, включая адреса "избранных"   я сначала не мог понять, почему внешние адреса рандомом выдаются, а потом поправил конфиг на вот такой

nat pass on em0 from 10.0.0.0/8 to any -> ххх.ххх.209.26

и сразу наступила ясность.
ЗЫ все-таки pf сильная штука!

[chupyc]

да у меня тоже так работало но 10 минут пока я не увидел что при переходе обычным клиентом каждый раз давало разный айпи... 

[Dr.zlo]

Да єсть такое. Если я не ошибаюсь, тоесть метод роунд-робин. А при етом варианте штоб каждий раз не меняло нада сказать што ип висит на клиенте до конца сесии. Типа так
nat pass on $ext_if from 192.168.0.0/16 to any -> {xxx.xxx.108.126, xxx.xxx.xxx.xxx} round-robin sticky-address
"sticky-address" Вот ета штука и говорит pf што нада держать етот ип пока не закончится сесия.

[Unix]

А как можно избавить вообще от Бината?

Допустим у меня есть сетка выданая райпом ххх.ххх.ххх.ххх/23

Сейчас адреса выдаю бинатом, но тогда работает не совсем полноцено, с внешника работает, а с локалки нет.

А как именно напрямую выдавать через mpd4 людям адреса?

[Aivanzipper]

Да сколько можно-то??

http://forum.nodeny.com.ua/index.php?topic=344.msg3194#msg3194

[versus]

Все от того что нет понимания что такое нат, бинат и почему прописав клиенту белый айпи оно будет/не будет  работать...
такие вот сисадмины... даже поиском пользоватся не могут

[nops]

Поправьте меня, но даже я понимаю, что нат это трансляция серых адресов в белые, а бинат обратное действие.
А выдача клиенту булого ИПа, это совсем другая кухня, это без ната и бината делается

[Aivanzipper]

Поправляю, НАТ по сути это только трансляция, не обязательно белых в серые. Ситуации совсем разные бывают.