Как настроить nodeny на работу с двумя и больше подсетями?

[Kaylas]

Есть сеть с серыми адресами, и появилась сеть с честными адресами, и сразу возник вопрос как правильно настроить nodeny для работы с двумя подсетями?

[stix]

а что не получается?

[versus]

А что это еще и настраивать надо ? Я думал айпишнеки прописал и вперде!

[Efendy]

Есть сеть с серыми адресами, и появилась сеть с честными адресами, и сразу возник вопрос как правильно настроить nodeny для работы с двумя подсетями?

количество сетей для Nodeny не имеет значения. Хоть белые, хоть серые, хоть полосатые. И ничего менять не надо. Просто добавь воды

[Kaylas]

Я сделал так: добавил честный адрес в nodeny и прописал его клиенту 217.х.х.238 шлюзом клиенту прописал 217.х.х.237
Карточки rl1 и stge0 смотрят в локальную сеть.

Код:

rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        inet 217.х.х.234 netmask 0xfffffff8 broadcast 217.х.х.239
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
stge0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        inet 10.4.1.3 netmask 0xfffffc00 broadcast 10.4.3.255
        media: Ethernet autoselect (100baseTX <full-duplex,flag0,flag1>)
        status: active
rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        inet 217.х.х.237 netmask 0xfffffffc broadcast 217.х.х.239
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> metric 0 mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        inet 127.0.0.1 netmask 0xff000000

Код:

# ipfw show
00100      6634       320340 deny tcp from any to any dst-port 445
00110   5069432   5541921076 allow ip from any to any via lo0
00120   1675521    202002553 skipto 1000 ip from me to any
00130      8302       465092 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00140   1937560    433573939 deny ip from any to table(120)
00150      5238      1223274 deny ip from table(120) to any
00160      2894       227636 allow tcp from any to me dst-port 50022
00161         0            0 allow tcp from me 50022 to any
00190  20954847   1495138565 skipto 2000 ip from any to me
00200 851002779 683845726974 skipto 500 ip from any to any via rl0
00300 358406870 147005540416 skipto 4500 ip from any to any in
00401 492933835 535809233838 skipto 450 ip from any to any recv rl0
00420     16997      1705701 divert 1 ip from any to any
00450 492950794 535810934969 divert 2 ip from any to any
00490 483708351 524509482251 allow ip from any to any
00500 494663044 537085616257 skipto 32500 ip from any to any in
00510 356339735 146760110717 divert 1 ip from any to any
00540 356013513 146454765062 allow ip from any to any
01000    979051    141685884 allow udp from any 53,7723 to any
01010        88         6790 allow tcp from any to any setup keep-state
01020    871383    125071729 allow udp from any to any keep-state
01100    250515     27476625 allow ip from any to any
02000         0            0 check-state
02010     45731      3912570 allow icmp from any to any
02050      3572       213046 allow tcp from any to any dst-port 80
02051     10526       962268 allow tcp from any to any dst-port 443
02053    545924     34479312 allow udp from any to any dst-port 53
02082    642641     31791010 allow udp from any to any dst-port 53,7723
02100  19280937   1331541884 deny ip from any to any
05000   1485883    130962735 deny ip from not table(0) to any
05001 199961587  82794117620 skipto 5010 ip from table(127) to table(126)
05002 156941208  64078567304 skipto 5030 ip from any to not table(2)
05003      1597       197580 deny ip from any to not table(1)
05004     14881      1582482 pipe tablearg ip from table(21) to any
05005         0            0 deny ip from any to any
05010 199961587  82794117620 pipe tablearg ip from table(127) to any
05030      9385       450488 deny tcp from table(15) to any dst-port 25
05226         0            0 allow ip from table(127) to table(126)
05400    120090     10512648 pipe tablearg ip from table(11) to any
05501        93         9197 allow ip from 10.4.1.5 to 10.4.0.0/22
05501      3062       193193 pipe 1005 ip from 10.4.1.5 to any
05519         0            0 allow ip from 217.х.х.238 to 10.4.0.0/22
05519         0            0 pipe 1005 ip from 217.х.х.238 to any
05523        26         4542 allow ip from 10.4.1.57 to 10.4.0.0/22
05523    219477     11161301 pipe 1093 ip from 10.4.1.57 to any
32000        55         3164 deny ip from any to any
32490      1714       112695 deny ip from any to any
33000 341050574 407707767044 pipe tablearg ip from table(126) to table(127)
33001 153612470 129377849213 skipto 33010 ip from not table(2) to any
33002         0            0 pipe tablearg ip from any to table(20)
33003         0            0 deny ip from any to any
33226         0            0 allow ip from table(126) to table(127)
33400    180948    235629692 pipe tablearg ip from any to table(10)
33501         0            0 allow ip from 10.4.0.0/22 to 10.4.1.5
33501      3056      3392715 pipe 1004 ip from any to 10.4.1.5
33519         0            0 allow ip from 10.4.0.0/22 to 217.х.х.238
33519         0            0 pipe 1004 ip from any to 217.х.х.238
33523         0            0 allow ip from 10.4.0.0/22 to 10.4.1.57
33523    402244    585855788 pipe 1092 ip from any to 10.4.1.57

Мне кажется что правила 05519 и 33519 работать небудут. Разве пайпы нарезает не nodeny? Пожалуйста подскажите куда еще нужно "добавить воды"?

[versus]

RTFM - Read The Fucking Manual
Словарь IT аббревиатур

Не знаю, общее ли это свойство человечества или присуще только жителям 1/6 части суши, но читать доки мы не любим, предпочитая до всего дойти своей кумекалкой. Скорее это все же общая черта принадлежности к Homo Sapiens. Недаром же аббревиатура из цитаты имеет оригинальное американское происхождение.(с)

rtfm это команда для системных администраторов для использования в борьбе с новыми пользователями (c)

[elite]

отстреливать их надо, пока маленькие

[Efendy]

Одной белой сети недостаточно. Нужно 2 - одна между тобой и провом, вторая (_непересекающаяся_ с первой) маршрутизируется поверх первой к клиентам.  Начальные основы сетей стоит подучить, тогда не будут смеяться

[Kaylas]

Efendy Слушайте я же вас не про сети спрашивал! У меня 2 сети с белыми адресами одна с серыми и это не моя проблема, что вы это не видите.

elite вот только не надо из себя корчить всезнающего. Если можешь помочь помоги, а возвышаться в собственных глазах за счет унижение других свойственно четырнадцатилетним подросткам с девиантным поведением...

уважаемый versus мануал я читал, читал даже не один раз! Ничего на эту тему не нашел если Вы нашли то покажите где, а потом будете писать RTFM.

P.S. Странно, три человека ответили и не один ничего не написал по существу. Кроме поддевок и невнимательности больше ничего не увидел и это официальный форум.    я у Вас билинг покупал не для того что-бы Вы потом надомной изливались!!!
Если знаете ответ что трудно написать или унижать других доставляет больше удовольствия???

[versus]

Открываем мануал по нодени. Ищем файл firewall.html. Читаем как работает файрвол нодени, собственно там описано 2 вида работы, с серой сетью и серой + белой сетью айпи адресов на клиентах. Перечитываем еще раз. И видим, что никакого шаманства нет. Все работает прекрасно и без лишних телодвижений.Лично проверял.
Все работает и не на одной сети. Хотелось бы не пересказывать вам разделы мануала.
Конкретно я вижу пока слабое понимание от вас основ маршрутизации сетей, Стас вам и посоветовал проработать эту область знаний. Время потраченное на понимание основ, потом окупается в стократ.
Не стоит обижатся, что никто не помагает в решении вашей проблемы. Дело в том, что чем более подробную инструкцию мы пишем, тем менее квалифицированные пользователи пытаются без чтения и необходимых основ с наскока решить проблему методом научного тыка. С другой стороны нам все чаще приходится вместо технической поддержки по продукту, проводить ликбез по основам сетей и маршрутизации.

[versus]

Как Вы думаете почему Стас выделил слово _непересекающаяся_ в своем посте, о котором вы сказали следующее

Слушайте я же вас не про сети спрашивал! У меня 2 сети с белыми адресами одна с серыми и это не моя проблема, что вы это не видите.
....
Странно, три человека ответили и не один ничего не написал по существу.

Какой вы ждете , после этого более чем понятного ответа, ответ по существу ? 

[Kaylas]

versus подсети не пересекаются у них разные маски. что касается файла firewall.html я его наверно наизусть помню у меня так все и настроено.

Опять же вопрос был в другом. Скажите правила которые добавляет nodeny (05519 и 33519) правильные???

Если есть возможность выложите ipfw show где и серые и белые адреса работают.

[elite]

я у Вас билинг покупал не для того что-бы Вы потом надомной изливались!!!

"я покупала машину не для того, чтобы надо мной издевались!" - возмущалась блондинка гаишникам

Если знаете ответ что трудно написать или унижать других доставляет больше удовольствия???

Тема выдачи реальных ип адресов уже 100 раз обсуждалась, в том числе и на этом форуме. Надо всего лишь воспользоваться поиском и немножко включить мозг.
Объяснять тебе лично в 101 раз как-то не возникает желания.

p.s.

[Efendy]

Тут полностью с вами согласен - я кретин - сижу, думаю, реально чел банальных вещей не знает, спрашивает  мильон раз обсужденные вопросы, ленится с поиском, думал "дай все таки помогу и напишу где же у него ошибка". И написал. Поэтому и кретин я - признаю на  100%. Нельзя помогать таким людям. Невменяемым пусть помогает техподдержка, а не я

[Efendy]

versus подсети не пересекаются у них разные маски.

я вам советовал учить теорию. Советую и сейчас.  В вашем примере сети _пересекаются_! Маска тут не причем.