форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Если завтра не заработает УВОЛЯТ помогите....(alias)"
Сообщение от hobot (ok) on 13-Дек-04, 17:52  (MSK)
FreeBSD 5.0 (роутер) rl0 - 213.*.*.133 mask 255.255.255.128 - в интернет rl1 - 192.*.*.1 mask 255.255.255.0 - в локалку ЗАДАЧА: есть 3-ip адреса 213.*.*.151/152/153 mask 255.255.255.128 у клиентов. Необходимо чтоб они выходили в интернет через роутер со своими IP. Стал настраивать rc.conf и встал не могу понять к какому интерфейсу нада прицепить исчо 1 ip к внутреннему или внешнему. направьте в нужном направлении
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Если завтра не заработает УВОЛЯТ помогите....(alias)"
Сообщение от Polzun on 13-Дек-04, 18:57  (MSK)
>FreeBSD 5.0 (роутер) >rl0 - 213.*.*.133 mask 255.255.255.128 - в интернет >rl1 - 192.*.*.1 mask 255.255.255.0 - в локалку > >ЗАДАЧА: >есть 3-ip адреса 213.*.*.151/152/153 mask 255.255.255.128 >у клиентов. >Необходимо чтоб они выходили в интернет через роутер со своими IP. >Стал настраивать rc.conf и встал не могу понять к какому интерфейсу нада >прицепить исчо 1 ip к внутреннему или внешнему. ессно ко внутреннему... только сетка 213.*.*.133 mask 255.255.255.128 это адреса со 128 по 255 1) на внутренний интерфейс надо повесить адрес 213.*.*.145 маска 255.255.255.240 2) на клиентах свои адреса с маской 255.255.255.240 и шлюзом 213.*.*.145 3) твой провайдер должен знать что сетка 213.*.*.144/29 роутится через 213.*.*.133 4) все адреса (133, 144-159) должны быть твоими вот и все
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Если завтра не заработает УВОЛЯТ помогите....(alias)"
	Сообщение от hobot (ok) on 13-Дек-04, 19:18  (MSK)
	объясни почему именно 145 надо вешать на внутренний могу ли повесить 151 а клиентам дать 152 153
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Если завтра не заработает УВОЛЯТ помогите....(alias)"
	Сообщение от Polzun on 13-Дек-04, 19:29  (MSK)
	>объясни почему именно 145 надо вешать на внутренний >могу ли повесить 151 а клиентам дать 152 153 Вообще-то это без разницы, но обычно роутеру дают 1й адрес подсетки Поставив 145 роутеру, ты будешь знать что это 1й адрес подсетки 213.*.*.144/28 (и не запутаешься потом) Для клиентов остаются адреса 146-158, а 159 - броадкаст Что касается маски, то у клиентов должна быть маска 255.255.255.240 для того чтобы они могли без участия роутера общаться. Вообще какая у тебя топология и какие адреса тебе доступны?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Если завтра не заработает УВОЛЯТ помогите....(alias)"
Сообщение от Aleks (??) on 13-Дек-04, 19:20  (MSK)
>FreeBSD 5.0 (роутер) >rl0 - 213.*.*.133 mask 255.255.255.128 - в интернет >rl1 - 192.*.*.1 mask 255.255.255.0 - в локалку > >ЗАДАЧА: >есть 3-ip адреса 213.*.*.151/152/153 mask 255.255.255.128 >у клиентов. >Необходимо чтоб они выходили в интернет через роутер со своими IP. >Стал настраивать rc.conf и встал не могу понять к какому интерфейсу нада >прицепить исчо 1 ip к внутреннему или внешнему. > >направьте в нужном направлении Способа 2 (по крайней мере сразу пришли в голову): 1) Поднимаешь эти 3 ИП (алиасы) на интерфейсе смотрящем в интернет и делаешь статический НАТ на 3 ИП локальной сети. Подробнее man natd, man ipfw. 2) Использование возможности ФриБСД работать в качестве бриджа в сочетании с файрволом. Подробности тут: http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/network-bridging.html Способ (2) я на практике не пробывал, сам недавно наткнулся на это место в документации по Фре, но не вижу ни чего что бы могло помешать реализации.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Если завтра не заработает УВОЛЯТ помогите....(alias)"
	Сообщение от hobot (ok) on 13-Дек-04, 19:28  (MSK)
	идею понял только тогда вот какой вопрос будут ли внешние ip клиентов видеть внешний интерфейс если физически они подключены к внутреннему
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Если завтра не заработает УВОЛЯТ помогите....(alias)"
	Сообщение от hobot (ok) on 13-Дек-04, 19:35  (MSK)
	топология следующая есть внешние адреса 213.*.*.133,135,144,151,152,153 с маской 128 192 - шлюз прова 133 - внешний на моем роутере все остальные свободны - надо дать клиентам 192.168.11.1 маска 0 - локалка
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Если завтра не заработает УВОЛЯТ помогите....(alias)"
	Сообщение от Polzun on 13-Дек-04, 19:49  (MSK)
	>топология следующая >есть внешние адреса 213.*.*.133,135,144,151,152,153 с маской 128 >192 - шлюз прова >133 - внешний на моем роутере >все остальные свободны - надо дать клиентам >192.168.11.1 маска 0 - локалка Что-то очень странная конфигурация - это настораживает. Если нет никакого подвоха, то предложенный мной метод заработает. Только не забудь провайдеру сказать, что сеть 213.*.*.144/28 стоит за 213.*.*.133
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Если завтра не заработает УВОЛЯТ помогите....(alias)"
	Сообщение от Aleks (??) on 13-Дек-04, 19:48  (MSK)
	>идею понял только тогда вот какой вопрос >будут ли внешние ip клиентов видеть внешний интерфейс если физически они подключены >к внутреннему Судя по всему ты остановился на способе (1) Вот пример: допустим провайдер выжелил тебе адрес 1.1.1.101/24, а в локалке есть хост 10.10.10.101, имя интерфейса смотрящего в интернет fxp0, в локалку xl0 адрес на внутреннем интерфейсе 10.10.10.1/24 алиас ifconfig fxp0 alias 1.1.1.101 network 255.255.255.0 всё пришедшее из интернет завернуть на нат ipfw add 1 divert natd ip from any to any in recv fxp0 ipfw add 2 divert natd ip from 10.10.10.101 to not 10.10.10.0/24 out xmit fxp0 ipfw add 3 allow ip from 10.10.10.101 to any via xl0 ipfw add 4 allow ip from any to 10.10.10.101 via xl0 в конфиг нат пишешшь redirect_address 10.10.10.101 1.1.1.101 перезапускаешь нат и идёшь на юзерскую тачку, ставишь, на ней ставишь ИП адрес 10.10.10.101, шлюз 10.10.10.1. всё. В результате твой юзер ходит по локалке с адресом 10.10.10.101, а в интернет 1.1.1.101 ... как www.microsoft.com :))))
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Если завтра не заработает УВОЛЯТ помогите....(alias)"
	Сообщение от hobot (ok) on 13-Дек-04, 19:58  (MSK)
	тогда вопрос ipfw add 2 divert natd ip from 10.10.10.101 to not 10.10.10.0/24 out xmit fxp0 как понять этот момент "out xmit fxp0"
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "Если завтра не заработает УВОЛЯТ помогите....(alias)"
	Сообщение от Aleks (??) on 13-Дек-04, 20:08  (MSK)
	>тогда вопрос >ipfw add 2 divert natd ip from 10.10.10.101 to not 10.10.10.0/24 out >xmit fxp0 >как понять этот момент "out xmit fxp0" так: "уходящее наружу с интерфейса fxp0" не сомневайся взял с рабочего конфига методом "Cut & Paste" :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "Если завтра не заработает УВОЛЯТ помогите....(alias)"
	Сообщение от hobot (ok) on 13-Дек-04, 20:19  (MSK)
	тогда еще один момент если пингать с улицы внешний ip клиента 1.1.1.101 будет ли видно иль нет объясню зачем нада у клинта будет стоять ip телефон а для его работы нужно чтоб его было видно с улицы
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "Если завтра не заработает УВОЛЯТ помогите....(alias)"
	Сообщение от Polzun on 13-Дек-04, 21:32  (MSK)
	>тогда еще один момент если пингать с улицы внешний ip клиента >1.1.1.101 будет ли видно иль нет >объясню зачем нада у клинта будет стоять ip телефон а для его >работы нужно чтоб его было видно с улицы Тогда, скорее всего, тебе придется рассматривать мой метод :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "Если завтра не заработает УВОЛЯТ помогите....(alias)"
	Сообщение от hobot (ok) on 13-Дек-04, 21:38  (MSK)
	дружище спасай ситуацию можешь на примере показать последовательность и порядок как настроить эту хрень перерыл весь форум все говорят что это фигня и по 100 выриантов решений предлагают что пугает выручи плз.... uin: 291100
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	17. "Re: Если завтра не заработает УВОЛЯТ помогите....(alias)"
	Сообщение от Patrick_lt on 14-Дек-04, 11:16  (MSK)
	Сегодня делал под фрю 5,2 - работает : Или короче 1. Пересобираеш ядро с опциями : option IPFIREWALL option IPDIVERT option IPFIREWALL_VERBOSE option IPFIREWALL_VERBOSE_LIMIT=10 # see http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/kernelconfig-building.html #-------------------------------------------------------------------- ладно сборка ядра пошагово: 1. логинишся под root-om 2. cd /usr/src/sys/i386/conf 3. cp GENERIC ROUTER 4. ee ROUTER 5. меняеш ident GENERIC на ident ROUTER 5. идешь в конец файла дописываеш option IPFIREWALL option IPDIVERT option IPFIREWALL_VERBOSE option IPFIREWALL_VERBOSE_LIMIT=10 6. Сохраняеш изменения 7. config ROUTER 8. cd /usr/src/sys/i386/compile 9. make 10. make install #------------------------------------------------------------ 2. В rc.conf пишеш : #------------- ifconfig_rl0="inet 213.*.*.133  netmask 255.255.255.128" ifconfig_rl1="192.*.*.1  netmask 255.255.255.0" defaultrouter="213.*.*.NNN" #шлюз провайдера natd_enable="YES" natd_interface="rl0" gateway_enable="YES" firewall_enable="YES" firewall_type="OPEN" #временно открываеш все порты - потом настроишь #see man ipfw 3. reboot now Да, на другихмашинах прописываешь: IP 192.*.*.1 netmask 255.255.255.0 defaultrouter="192.*.*.1" (основной шлюз) dns - dns проваедера Усьо - работает как часы petruniv@yandex.ru ICQ: 126374000 >дружище спасай ситуацию >можешь на примере показать последовательность и порядок как настроить эту хрень >перерыл весь форум все говорят что это фигня и по 100 выриантов >решений предлагают что пугает >выручи плз.... >uin: 291100
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	18. "Если завтра не заработает УВОЛЯТ помогите....(alias)"
	Сообщение от screepah (??) on 14-Дек-04, 11:38  (MSK)
	>объясню зачем нада у клинта будет стоять ip телефон а для его >работы нужно чтоб его было видно с улицы Скорее всего не получится по-простому, средствами ната. Либо шлюз voip-шный, либо реальные ip на клиентских машинах. А так, с пробросом всей машины наружу, только один сможет юзать телефонию, а два других отдыхать.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Если завтра не заработает УВОЛЯТ помогите....(alias)"
	Сообщение от Polzun on 13-Дек-04, 19:32  (MSK)
	>>FreeBSD 5.0 (роутер) >>rl0 - 213.*.*.133 mask 255.255.255.128 - в интернет >>rl1 - 192.*.*.1 mask 255.255.255.0 - в локалку >> >>ЗАДАЧА: >>есть 3-ip адреса 213.*.*.151/152/153 mask 255.255.255.128 >>у клиентов. >>Необходимо чтоб они выходили в интернет через роутер со своими IP. >>Стал настраивать rc.conf и встал не могу понять к какому интерфейсу нада >>прицепить исчо 1 ip к внутреннему или внешнему. >> >>направьте в нужном направлении > >Способа 2 (по крайней мере сразу пришли в голову): > >1) Поднимаешь эти 3 ИП (алиасы) на интерфейсе смотрящем в интернет >и делаешь статический НАТ на 3 ИП локальной сети. Подробнее man natd, Это лишний геморрой с настройками и не факт что нормально будет для клиентов >2) Использование возможности ФриБСД работать в качестве бриджа в >сочетании с файрволом. >Подробности тут: http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/network-bridging.html > >Способ (2) я на практике не пробывал, сам недавно наткнулся на это >место >в документации по Фре, но не вижу ни чего что бы могло >помешать >реализации. Не прокатит т.к. на внутреннем интерфейсе висят серые адреса, а их нельзя выпускать...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "Если завтра не заработает УВОЛЯТ помогите....(alias)"
	Сообщение от Aleks (??) on 13-Дек-04, 19:59  (MSK)
	>>>FreeBSD 5.0 (роутер) >>>rl0 - 213.*.*.133 mask 255.255.255.128 - в интернет >>>rl1 - 192.*.*.1 mask 255.255.255.0 - в локалку >>> >>>ЗАДАЧА: >>>есть 3-ip адреса 213.*.*.151/152/153 mask 255.255.255.128 >>>у клиентов. >>>Необходимо чтоб они выходили в интернет через роутер со своими IP. >>>Стал настраивать rc.conf и встал не могу понять к какому интерфейсу нада >>>прицепить исчо 1 ip к внутреннему или внешнему. >>> >>>направьте в нужном направлении >> >>Способа 2 (по крайней мере сразу пришли в голову): >> >>1) Поднимаешь эти 3 ИП (алиасы) на интерфейсе смотрящем в интернет >>и делаешь статический НАТ на 3 ИП локальной сети. Подробнее man natd, > >Это лишний геморрой с настройками и не факт что нормально будет для >клиентов Данный геморой позволит скрыть внутреннюю инфраструктуру сети от всякой нечести, поэтому считаю его не лишним, а напротив предпочёл бы его использование (с точки зрения безопасности). В 80% случаев клиентам будет нормально, но есть засады, например клиенты VPN работать не смогут ... может ещё чего не помню. > >>2) Использование возможности ФриБСД работать в качестве бриджа в >>сочетании с файрволом. >>Подробности тут: http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/network-bridging.html >> >>Способ (2) я на практике не пробывал, сам недавно наткнулся на это >>место >>в документации по Фре, но не вижу ни чего что бы могло >>помешать >>реализации. > >Не прокатит т.к. на внутреннем интерфейсе висят серые адреса, а их нельзя >выпускать... А это батенька как уж ты правила файрвола напишешь, способ на 100% рабочий, но без сомнения более дырявый.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

16. "Если завтра не заработает УВОЛЯТ помогите....(alias)"
Сообщение от jonatan on 13-Дек-04, 22:42  (MSK)
Знакомый решал похожую задачу, но на linux. Решил так, как предлагает Polzun . > 1) на внутренний интерфейс надо повесить адрес 213.*.*.145 маска > 255.255.255.240 > 2) на клиентах свои адреса с маской 255.255.255.240 и шлюзом 213.*.*.145 > 3) твой провайдер должен знать что сетка 213.*.*.144/29 роутится > через 213.*.*.133 Вместо этого он использовал proxyarp на внешнем интерфейсе. Хотя, если пров не против, то так. > 4) все адреса (133, 144-159) должны быть твоими Можно, конечно, использовать SNAT/DNAT для этих клиентов, но некоторые протоколы могут передавать ip внутри своего пакета (например, у знакомого есть такой банк-клиент) и это работать не будет.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.