Получил от прова сетку на офис.
адреса допустим 172.16.5.64/28т.е. 15 IP
Приходит это ко мне в комп c BSD 7.1 там офис в 300 челов сидит в сквиде.
вот заюзал я IP 172.16.5.66 маска 255.255.255.240
шлюз 172.16.5.65Тут появились арендаторы, которым белые IP надо дать. типа 172.16.5.76
И вот никак не пойму как сделать та???
Есть еще одна сетевка в компе с Free. Help
--------------------------------------------------------------
может сетевухе один адрес 172.16.5.66/28два 172.16.5.75/28
и с сетевухи два давать прямые IP челама перенаправление роутингом
????
трафик арендаторов должен тарифицироваться+ограничиваться?
>трафик арендаторов должен тарифицироваться+ограничиваться?надо, но пока чтоб отстали готов на любой вариант
>>трафик арендаторов должен тарифицироваться+ограничиваться?
>
>надо, но пока чтоб отстали готов на любой вариантеще вопрос, у них будет свое оборудование? свитчи компы подсетки, или это единичные компы, важно знать, будут ли к их оборудованию подключаться с инета?
>>>трафик арендаторов должен тарифицироваться+ограничиваться?
>>
>>надо, но пока чтоб отстали готов на любой вариант
>
>еще вопрос, у них будет свое оборудование? свитчи компы подсетки, или это
>единичные компы, важно знать, будут ли к их оборудованию подключаться с
>инета?Да. У них ип телефон, вяжется к внешнему IP.
от меня идет к железяке от иптелефонии от нее в комп(шлюз) далее в свитч и по пользователям.
Такая у них сеть.
>Да. У них ип телефон, вяжется к внешнему IP.
>от меня идет к железяке от иптелефонии от нее в комп(шлюз) далее
>в свитч и по пользователям.
>Такая у них сеть.в иптелефонии вобще профан, но думаю можно сделать следующим образом
в провод между шлюзом и провом, постаивть свитч, и воткнуть в него арендатора с белым адресом, пока он успокоился и радуется, втыкаем в шлюз еще одну сетевуху и делаем DMZ-сеть (service leg конфигурация), DMZ сеть будет физически отделена от вашей существующей сети, затем в нее перемещаем арендатора с внешним адресом, а на шлюзе делаем форвардинг в обоих направлениях между инетом и арендатором, типаiptables -A FORWARD -s 0.0.0.0/0 -d $ARENDATOR -j ACCEPT
iptables -A FORWARD -s $ARENDATOR -d 0.0.0.0/0 -j ACCEPTидея с временным свитчем, это на случай если вам незнакомо что такое dmz как ее сделать, и для чего она вобще, и если вдруг на разборку уйдет время...
забыл добавить, в итоге траф пойдет через шлюз и его можно будет обсчитать и ограничить
>[оверквотинг удален]
>сеть будет физически отделена от вашей существующей сети, затем в нее
>перемещаем арендатора с внешним адресом, а на шлюзе делаем форвардинг в
>обоих направлениях между инетом и арендатором, типа
>
>iptables -A FORWARD -s 0.0.0.0/0 -d $ARENDATOR -j ACCEPT
>iptables -A FORWARD -s $ARENDATOR -d 0.0.0.0/0 -j ACCEPT
>
>идея с временным свитчем, это на случай если вам незнакомо что такое
>dmz как ее сделать, и для чего она вобще, и если
>вдруг на разборку уйдет время...свитча м/у провом и шлюзом не будет (получаю сетку транком в потоке еще с пятью).
c iptables никогда не сталкивался.
надо что-то еще в ядре???это в фаере писать нужно?
iptables -A FORWARD -s 0.0.0.0/0 -d $ARENDATOR -j ACCEPT
iptables -A FORWARD -s $ARENDATOR -d 0.0.0.0/0 -j ACCEPT
мона расписать это?
>c iptables никогда не сталкивался.
>надо что-то еще в ядре???это вобщем безграничная тема, лучше сюда http://www.opennet.me/docs/RUS/iptables/
расписывать тут не вижу смысла, потому как сомнеавюсь что смогу объяснить всё. подход вобщем то прост, но сложен на первый взгляд)))
>>c iptables никогда не сталкивался.
>>надо что-то еще в ядре???
>
>это вобщем безграничная тема, лучше сюда http://www.opennet.me/docs/RUS/iptables/
>
>расписывать тут не вижу смысла, потому как сомнеавюсь что смогу объяснить всё.
>подход вобщем то прост, но сложен на первый взгляд)))Зачем надстройки если стандартных средств навалом.
Под FreeBsd нет решений на IPFW или route ???
>[оверквотинг удален]
>>>надо что-то еще в ядре???
>>
>>это вобщем безграничная тема, лучше сюда http://www.opennet.me/docs/RUS/iptables/
>>
>>расписывать тут не вижу смысла, потому как сомнеавюсь что смогу объяснить всё.
>>подход вобщем то прост, но сложен на первый взгляд)))
>
>Зачем надстройки если стандартных средств навалом.
>
>Под FreeBsd нет решений на IPFW или route ???пардон я только сейчас увидел, что у вас freebsd, там как раз эта задача и решаетеся средством ipfw.
1)если роутинг не включен - то включить
2)прописать паблик сеть на свободном интерфейсе
3)если есть натинг в ipfw позаботится чтобы эта сеть на него (нат) не попала
все
>1)если роутинг не включен - то включить
>2)прописать паблик сеть на свободном интерфейсе
>3)если есть натинг в ipfw позаботится чтобы эта сеть на него (нат)
>не попала
>всеУ меня одна линейка была.. типа 172.16.20.64/28
и на мой и-нет и на остальных
попросил прова переделать
так
сетка /30
там будут два адреса (мой и шлюз прова) а через нее уже будет роутится "большая" сетка.
>[оверквотинг удален]
>
>У меня одна линейка была.. типа 172.16.20.64/28
>
>и на мой и-нет и на остальных
>
>попросил прова переделать
>так
> сетка /30
> там будут два адреса (мой и шлюз прова) а через нее
>уже будет роутится "большая" сетка.во первых преклатите называть подсеть линейкой ))
во вторых - какая в зопу разница? )
>[оверквотинг удален]
>
>У меня одна линейка была.. типа 172.16.20.64/28
>
>и на мой и-нет и на остальных
>
>попросил прова переделать
>так
> сетка /30
> там будут два адреса (мой и шлюз прова) а через нее
>уже будет роутится "большая" сетка.Аналогично
>1)если роутинг не включен - то включить
>2)прописать паблик сеть на свободном интерфейсе
>3)если есть натинг в ipfw позаботится чтобы эта сеть на него (нат)
>не попала
>всеЧто можно использовать для роутинга?
>>1)если роутинг не включен - то включить
>>2)прописать паблик сеть на свободном интерфейсе
>>3)если есть натинг в ipfw позаботится чтобы эта сеть на него (нат)
>>не попала
>>все
>
>Что можно использовать для роутинга?на линуксе делал так
алиасил на интерфейс своего шлюза ИП который забирали
и все входящие на данный алиас DNAT-том прокидывал во внутрисеть на ИП ихнего шлюза
обратно от них SNAT-ом в интернетт.е.
ИНЕТ -----Alias 80.xx.xx.xx DNAT to --------10.xx.xx.xx
10.xx.xx.xx ------- SNAT to Alias 80.xx.xx.xx ---------- ИНЕТ
это и есть то срашное слово DMZ все пахало даже ВЕБ
>1)если роутинг не включен - то включить
>2)прописать паблик сеть на свободном интерфейсе
>3)если есть натинг в ipfw позаботится чтобы эта сеть на него (нат)
>не попала
>всеРоутинг хз включен или нет.. (как и что проверить free 6.3 параметры роутинга по дефолту)
прописал паблик сеть.
сеть на натинг не попадает, но все равно не работает, ping -S (работает как часы) с блока айпи (одна из них гв) по маске все корректно и у клиента не работает....
>[оверквотинг удален]
>Есть еще одна сетевка в компе с Free. Help
>
>--------------------------------------------------------------
>может сетевухе один адрес 172.16.5.66/28
>
>
> два
>172.16.5.75/28
>
> и с сетевухи два давать прямые IP челамА что мешает Вам со своей стороны выставить на интерфейсе ip 172.16.5.66/30, а арендаторам выдать 172.16.5.68/30?
Вобще то было б интересно ознакомиться с топологией сети!!! Каким образом и на какой интерфейс получаем от прова подсеть? Через какой интерфейс ходит офис из 300 человек? Адрес сети??? Что такое Есть еще одна сетевка в компе с Free??? это отдельный интерфейс? Кто такие орендаторы??? это ктото из 300 в офисе или отдельная тема??? И желательно еще и роутинг показать. Тогда можно чтото и посоветовать!
ставишь на свой роутер их белый айпи, поднимаешь фаервол PF, в конфиге пишешь:
rdr on rl0 from any to 1.2.3.4 -> 192.168.1.1где
rl0 - сетевуха с "их" белым адресом
1.2.3.4 - собсно, тот самый белый адрес
192.168.1.1 - "их" машина в локалкеПусть "они" настроят себе 192.168.1.1 на своем железе, и на этот айпи будет приходить внешний трафик
ЗЫ: эта схема идентична примеру с iptables сверху, но адаптирована для родного PF для FREEBSD