URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 91654
[ Назад ]

Исходное сообщение
"IPFW + alias"
Отправлено djamper , 26-Май-11 16:39

keymap="ru.koi8-r"
ifconfig_em0="inet 192.168.1.1  netmask 255.255.255.0"
cloned_interfaces="vlan101"
ifconfig_vlan101="10.10.0.4 netmask 255.255.0.0 vlan 101 vlandev em0 up"
gateway_enable="yes"
sshd_enable="YES"
mpd_enable="yes"
mpd_flags="-b"
firewall_enable="YES"
firewall_type="/etc/ipfw.rules"
natd_enable="YES"
natd_interface="em1"
ifconfig_em1="inet 95.167.214.245  netmask 255.255.255.0"
ifconfig_em1_alias0="inet 95.167.214.67 netmask 255.255.0 up"
defaultrouter="95.167.214.1"
hostname="host.DJAMPER"
Это мой rc.conf.
Вот ipfw.rules
delete 200
delete 300
add 303 divert natd ip from 172.16.0.0/16 to any
add 304 divert natd ip from any to me in via em1
add allow ip from any to any via lo0
add allow ip from any to any

Всё замечательно работает, вопрос вот в чём заключается.
Как видите у меня на em1 интерфейсе висит Ip внешний, но он не один как видите я прикрутил ещё 1 белый Ip.
таковых у нас ещё 250 штук. А вот теперь вопрос.
Какие правила надо прописать в IPFW.rules что абонентам которым надо другой внешний IP давался Ip из какого нибудь alias. например абоненту с Ip 172.16.6.65?

Содержание

IPFW + alias,Hammer, 18:33 , 26-Май-11
- IPFW + alias,djamper, 18:48 , 26-Май-11
- IPFW + alias,Aquarius, 19:07 , 26-Май-11
  - IPFW + alias,PavelR, 21:02 , 26-Май-11
    - IPFW + alias,Aquarius, 03:41 , 27-Май-11
  - IPFW + alias,Hammer, 06:48 , 27-Май-11
    - IPFW + alias,universite, 04:30 , 28-Май-11
      - IPFW + alias,Grey, 06:28 , 28-Май-11
        
        IPFW + alias,universite, 19:21 , 28-Май-11
    - IPFW + alias,a2l, 07:34 , 02-Июн-11
      - IPFW + alias,universite, 13:53 , 02-Июн-11
IPFW + alias,PavelR, 21:02 , 26-Май-11
- IPFW + alias,djamper, 12:09 , 27-Май-11
  - IPFW + alias,djamper, 12:10 , 27-Май-11
    - IPFW + alias,Anony, 13:56 , 27-Май-11
      - IPFW + alias,djamper, 14:28 , 27-Май-11
  - IPFW + alias,Hammer, 18:19 , 27-Май-11
    - IPFW + alias,PavelR, 20:00 , 27-Май-11
      - IPFW + alias,Hammer, 21:46 , 27-Май-11
      - IPFW + alias,universite, 04:32 , 28-Май-11
        
        IPFW + alias,Hammer, 10:10 , 28-Май-11
        
        IPFW + alias,universite, 01:37 , 29-Май-11
        
        IPFW + alias,Hammer, 06:44 , 01-Июн-11
      - IPFW + alias,Grey, 07:53 , 28-Май-11
        
        IPFW + alias,PavelR, 09:28 , 28-Май-11
        IPFW + alias,universite, 01:39 , 29-Май-11
        
        IPFW + alias,PavelR, 08:45 , 29-Май-11
        
        IPFW + alias,universite, 22:30 , 29-Май-11
        
        IPFW + alias,PavelR, 22:32 , 29-Май-11
        
        IPFW + alias,universite, 22:44 , 29-Май-11
        
        IPFW + alias,PavelR, 08:08 , 30-Май-11
        
        IPFW + alias,universite, 20:02 , 30-Май-11
        
        IPFW + alias,PavelR, 20:06 , 30-Май-11

Сообщения в этом обсуждении

"IPFW + alias"
Отправлено Hammer , 26-Май-11 18:33

>[оверквотинг удален]
> add 304 divert natd ip from any to me in via em1
> add allow ip from any to any via lo0
> add allow ip from any to any
> Всё замечательно работает, вопрос вот в чём заключается.
> Как видите у меня на em1 интерфейсе висит Ip внешний, но он
> не один как видите я прикрутил ещё 1 белый Ip.
> таковых у нас ещё 250 штук. А вот теперь вопрос.
> Какие правила надо прописать в IPFW.rules что абонентам которым надо другой внешний
> IP давался Ip из какого нибудь alias. например абоненту с Ip
> 172.16.6.65?
Т.Е. Ты умудрился на один интерфейс прикрутить два ip из одной подсетки? И работает? 8-()

"IPFW + alias"
Отправлено djamper , 26-Май-11 18:48

>[оверквотинг удален]
>> add allow ip from any to any
>> Всё замечательно работает, вопрос вот в чём заключается.
>> Как видите у меня на em1 интерфейсе висит Ip внешний, но он
>> не один как видите я прикрутил ещё 1 белый Ip.
>> таковых у нас ещё 250 штук. А вот теперь вопрос.
>> Какие правила надо прописать в IPFW.rules что абонентам которым надо другой внешний
>> IP давался Ip из какого нибудь alias. например абоненту с Ip
>> 172.16.6.65?
> Т.Е. Ты умудрился на один интерфейс прикрутить два ip из одной подсетки?
> И работает? 8-()
Не понял можно поконкретнее?

"IPFW + alias"
Отправлено Aquarius , 26-Май-11 19:07

>[оверквотинг удален]
>> add allow ip from any to any
>> Всё замечательно работает, вопрос вот в чём заключается.
>> Как видите у меня на em1 интерфейсе висит Ip внешний, но он
>> не один как видите я прикрутил ещё 1 белый Ip.
>> таковых у нас ещё 250 штук. А вот теперь вопрос.
>> Какие правила надо прописать в IPFW.rules что абонентам которым надо другой внешний
>> IP давался Ip из какого нибудь alias. например абоненту с Ip
>> 172.16.6.65?
> Т.Е. Ты умудрился на один интерфейс прикрутить два ip из одной подсетки?
> И работает? 8-()
маска разная - этого достаточно

"IPFW + alias"
Отправлено PavelR , 26-Май-11 21:02

>[оверквотинг удален]
>>> Всё замечательно работает, вопрос вот в чём заключается.
>>> Как видите у меня на em1 интерфейсе висит Ip внешний, но он
>>> не один как видите я прикрутил ещё 1 белый Ip.
>>> таковых у нас ещё 250 штук. А вот теперь вопрос.
>>> Какие правила надо прописать в IPFW.rules что абонентам которым надо другой внешний
>>> IP давался Ip из какого нибудь alias. например абоненту с Ip
>>> 172.16.6.65?
>> Т.Е. Ты умудрился на один интерфейс прикрутить два ip из одной подсетки?
>> И работает? 8-()
> маска разная - этого достаточно
а где вы увидели разные маски ?

"IPFW + alias"
Отправлено Aquarius , 27-Май-11 03:41

>[оверквотинг удален]
>>>> Как видите у меня на em1 интерфейсе висит Ip внешний, но он
>>>> не один как видите я прикрутил ещё 1 белый Ip.
>>>> таковых у нас ещё 250 штук. А вот теперь вопрос.
>>>> Какие правила надо прописать в IPFW.rules что абонентам которым надо другой внешний
>>>> IP давался Ip из какого нибудь alias. например абоненту с Ip
>>>> 172.16.6.65?
>>> Т.Е. Ты умудрился на один интерфейс прикрутить два ip из одной подсетки?
>>> И работает? 8-()
>> маска разная - этого достаточно
> а где вы увидели разные маски ?
ifconfig_em1="inet 95.167.214.245 netmask 255.255.255.0"
ifconfig_em1_alias0="inet 95.167.214.67 netmask 255.255.0 up"
тут возможны два подхода: считать нули и считать 255 8)
я считал 255
не знаю, как система на такое реагирует

"IPFW + alias"
Отправлено Hammer , 27-Май-11 06:48

>[оверквотинг удален]
>>> Всё замечательно работает, вопрос вот в чём заключается.
>>> Как видите у меня на em1 интерфейсе висит Ip внешний, но он
>>> не один как видите я прикрутил ещё 1 белый Ip.
>>> таковых у нас ещё 250 штук. А вот теперь вопрос.
>>> Какие правила надо прописать в IPFW.rules что абонентам которым надо другой внешний
>>> IP давался Ip из какого нибудь alias. например абоненту с Ip
>>> 172.16.6.65?
>> Т.Е. Ты умудрился на один интерфейс прикрутить два ip из одной подсетки?
>> И работает? 8-()
> маска разная - этого достаточно
Что то я засомневался.
т.е. 1.1.1.1 255.255.255.248 и 1.1.1.2 255.255.255.252 прекрасно будут работать на одном интерфейсе?

"IPFW + alias"
Отправлено universite , 28-Май-11 04:30

> Что то я засомневался.
> т.е. 1.1.1.1 255.255.255.248 и 1.1.1.2 255.255.255.252 прекрасно будут работать на одном
> интерфейсе?
да, должна.
В разных версиях Фри иногда бывает ругань.

"IPFW + alias"
Отправлено Grey , 28-Май-11 06:28

>> Что то я засомневался.
>> т.е. 1.1.1.1 255.255.255.248 и 1.1.1.2 255.255.255.252 прекрасно будут работать на одном
>> интерфейсе?
> да, должна.
> В разных версиях Фри иногда бывает ругань.
не должно!
1.1.1.1 255.255.255.248 и 1.1.1.2 255.255.255.252
оба адреса находятся в одной подсети, т.е. указанные подсети перекрываются.
почитайте про разбивку на подсети.
если указываете основным адресом 1.1.1.1 255.255.255.0, то алиасы адресов из той же сети надо указывать с маской 255.255.255.255

"IPFW + alias"
Отправлено universite , 28-Май-11 19:21

> не должно!
> 1.1.1.1 255.255.255.248 и 1.1.1.2 255.255.255.252
> оба адреса находятся в одной подсети, т.е. указанные подсети перекрываются.
> почитайте про разбивку на подсети.
у вас устаревшие дынные
> если указываете основным адресом 1.1.1.1 255.255.255.0, то алиасы адресов из той же
> сети надо указывать с маской 255.255.255.255
как раз маска может быть другая, можно и /32 и /24 и /23, смотря какой блок прописан на роутере.

"IPFW + alias"
Отправлено a2l , 02-Июн-11 07:34

>[оверквотинг удален]
>>>> таковых у нас ещё 250 штук. А вот теперь вопрос.
>>>> Какие правила надо прописать в IPFW.rules что абонентам которым надо другой внешний
>>>> IP давался Ip из какого нибудь alias. например абоненту с Ip
>>>> 172.16.6.65?
>>> Т.Е. Ты умудрился на один интерфейс прикрутить два ip из одной подсетки?
>>> И работает? 8-()
>> маска разная - этого достаточно
> Что то я засомневался.
> т.е. 1.1.1.1 255.255.255.248 и 1.1.1.2 255.255.255.252 прекрасно будут работать на одном
> интерфейсе?
man ifconfig
/alias
     alias   Establish an additional network address for this interface.  This
             is sometimes useful when changing network numbers, and one wishes
             to accept packets addressed to the old interface.  If the address
             is on the same subnet as the first network address for this
             interface, a non-conflicting netmask must be given.  Usually
             0xffffffff is most appropriate.

"IPFW + alias"
Отправлено universite , 02-Июн-11 13:53

>[оверквотинг удален]
>
>  to accept packets addressed to the old interface.  If
> the address
>
>  is on the same subnet as the first network address
> for this
>
>  interface, a non-conflicting netmask must be given.  Usually
>
>  0xffffffff is most appropriate.


[12:51]vm1:root->/root# uname -a
FreeBSD vm1.local 8.2-STABLE FreeBSD 8.2-STABLE #0: Fri May 27 02:30:57 EEST 2011     root@vm1.local:/usr/obj/usr/src/sys/virtualbox.2  amd64
[12:51]vm1:root->/root# ifconfig lo0 inet 1.1.1.2/30 alias
[12:51]vm1:root->/root# ifconfig lo0 inet 1.1.1.1/29 alias
[12:51]vm1:root->/root# ifconfig lo0
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet 127.0.0.1 netmask 0xff000000
        inet6 ::1 prefixlen 128
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x7
        inet 1.1.1.2 netmask 0xfffffffc
        inet 1.1.1.1 netmask 0xfffffff8
        nd6 options=3<PERFORMNUD,ACCEPT_RTADV>

"IPFW + alias"
Отправлено PavelR , 26-Май-11 21:02

>[оверквотинг удален]
> add 304 divert natd ip from any to me in via em1
> add allow ip from any to any via lo0
> add allow ip from any to any
> Всё замечательно работает, вопрос вот в чём заключается.
> Как видите у меня на em1 интерфейсе висит Ip внешний, но он
> не один как видите я прикрутил ещё 1 белый Ip.
> таковых у нас ещё 250 штук. А вот теперь вопрос.
> Какие правила надо прописать в IPFW.rules что абонентам которым надо другой внешний
> IP давался Ip из какого нибудь alias. например абоненту с Ip
> 172.16.6.65?
1) man natd
2) man ipfw на тему kernel/ipfw - nat

"IPFW + alias"
Отправлено djamper , 27-Май-11 12:09

>[оверквотинг удален]
>> add allow ip from any to any
>> Всё замечательно работает, вопрос вот в чём заключается.
>> Как видите у меня на em1 интерфейсе висит Ip внешний, но он
>> не один как видите я прикрутил ещё 1 белый Ip.
>> таковых у нас ещё 250 штук. А вот теперь вопрос.
>> Какие правила надо прописать в IPFW.rules что абонентам которым надо другой внешний
>> IP давался Ip из какого нибудь alias. например абоненту с Ip
>> 172.16.6.65?
> 1) man natd
> 2) man ipfw на тему kernel/ipfw - nat
Народ, вопрос, почти получилось, скажите вот что не могу нагуглить никк уже 2 день. как пользоваться опцией -alias_address в NAT?

"IPFW + alias"
Отправлено djamper , 27-Май-11 12:10

>[оверквотинг удален]
>>> Как видите у меня на em1 интерфейсе висит Ip внешний, но он
>>> не один как видите я прикрутил ещё 1 белый Ip.
>>> таковых у нас ещё 250 штук. А вот теперь вопрос.
>>> Какие правила надо прописать в IPFW.rules что абонентам которым надо другой внешний
>>> IP давался Ip из какого нибудь alias. например абоненту с Ip
>>> 172.16.6.65?
>> 1) man natd
>> 2) man ipfw на тему kernel/ipfw - nat
> Народ, вопрос, почти получилось, скажите вот что не могу нагуглить никк уже
> 2 день. как пользоваться опцией -alias_address в NAT?
И простите маски там одинаковые, покорявому скопировал. 255.255.255.0

"IPFW + alias"
Отправлено Anony , 27-Май-11 13:56

>[оверквотинг удален]
>>>> не один как видите я прикрутил ещё 1 белый Ip.
>>>> таковых у нас ещё 250 штук. А вот теперь вопрос.
>>>> Какие правила надо прописать в IPFW.rules что абонентам которым надо другой внешний
>>>> IP давался Ip из какого нибудь alias. например абоненту с Ip
>>>> 172.16.6.65?
>>> 1) man natd
>>> 2) man ipfw на тему kernel/ipfw - nat
>> Народ, вопрос, почти получилось, скажите вот что не могу нагуглить никк уже
>> 2 день. как пользоваться опцией -alias_address в NAT?
> И простите маски там одинаковые, покорявому скопировал. 255.255.255.0
как вариант можно сделать с использованием table, но опять же варианта что бы было динамическое натирование адрес в адрес, что-то я не находил во фре

"IPFW + alias"
Отправлено djamper , 27-Май-11 14:28

>[оверквотинг удален]
>>>>> IP давался Ip из какого нибудь alias. например абоненту с Ip
>>>>> 172.16.6.65?
>>>> 1) man natd
>>>> 2) man ipfw на тему kernel/ipfw - nat
>>> Народ, вопрос, почти получилось, скажите вот что не могу нагуглить никк уже
>>> 2 день. как пользоваться опцией -alias_address в NAT?
>> И простите маски там одинаковые, покорявому скопировал. 255.255.255.0
> как вариант можно сделать с использованием table, но опять же варианта что
> бы было динамическое натирование адрес в адрес, что-то я не находил
> во фре
блин как же быть.(((( мне надо как ты понял просто что бы не подстка 172.16.0.0/32 а конкретный адресс из неё переводился в любой белый который пропишу из пула который нам выдали.

"IPFW + alias"
Отправлено Hammer , 27-Май-11 18:19

>[оверквотинг удален]
>>> Как видите у меня на em1 интерфейсе висит Ip внешний, но он
>>> не один как видите я прикрутил ещё 1 белый Ip.
>>> таковых у нас ещё 250 штук. А вот теперь вопрос.
>>> Какие правила надо прописать в IPFW.rules что абонентам которым надо другой внешний
>>> IP давался Ip из какого нибудь alias. например абоненту с Ip
>>> 172.16.6.65?
>> 1) man natd
>> 2) man ipfw на тему kernel/ipfw - nat
> Народ, вопрос, почти получилось, скажите вот что не могу нагуглить никк уже
> 2 день. как пользоваться опцией -alias_address в NAT?
1 Отказаться от диверт.
2 Настроить ядерный нат.
3 Хэндбук http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/fi...
ipfw nat 1 config ip ЧЧЧ.ЧЧЧ.ЧЧЧ.ЧЧЧ log
ipfw add nat 1 ip from 192.168.1.0.24 to any via xl0 (интерфейс в инет)
ipfw add nat 1 ip from any to ЧЧЧ.ЧЧЧ.ЧЧЧ.ЧЧЧ (белый ip)

"IPFW + alias"
Отправлено PavelR , 27-Май-11 20:00

> ipfw nat 1 config ip ЧЧЧ.ЧЧЧ.ЧЧЧ.ЧЧЧ log
> ipfw add nat 1 ip from 192.168.1.0.24 to any via xl0 (интерфейс
> в инет)
> ipfw add nat 1 ip from any to ЧЧЧ.ЧЧЧ.ЧЧЧ.ЧЧЧ (белый ip)
ipfw nat 1 config ip ЧЧЧ.ЧЧЧ.ЧЧЧ.ЧЧЧ log
ipfw add nat 1 ip from 192.168.1.0.24 to any out via xl0 (интерфейс в инет)
ipfw add nat 1 ip from any to ЧЧЧ.ЧЧЧ.ЧЧЧ.ЧЧЧ in via xl0 (белый ip)
и так нужные двестипятьдесят-икс раз, заменяя цихфирку адын на еще плюс адын.

"IPFW + alias"
Отправлено Hammer , 27-Май-11 21:46

>> ipfw nat 1 config ip ЧЧЧ.ЧЧЧ.ЧЧЧ.ЧЧЧ log
>> ipfw add nat 1 ip from 192.168.1.0.24 to any via xl0 (интерфейс
>> в инет)
>> ipfw add nat 1 ip from any to ЧЧЧ.ЧЧЧ.ЧЧЧ.ЧЧЧ (белый ip)
> ipfw nat 1 config ip ЧЧЧ.ЧЧЧ.ЧЧЧ.ЧЧЧ log
> ipfw add nat 1 ip from 192.168.1.0.24 to any out via xl0
> (интерфейс в инет)
> ipfw add nat 1 ip from any to ЧЧЧ.ЧЧЧ.ЧЧЧ.ЧЧЧ in via xl0
> (белый ip)
> и так нужные двестипятьдесят-икс раз, заменяя цихфирку адын на еще плюс адын.
:)

"IPFW + alias"
Отправлено universite , 28-Май-11 04:32

> ipfw nat 1 config ip ЧЧЧ.ЧЧЧ.ЧЧЧ.ЧЧЧ log
log не забыть убрать, а то файл может разбухнуть до огромных размеров.

"IPFW + alias"
Отправлено Hammer , 28-Май-11 10:10

>> ipfw nat 1 config ip ЧЧЧ.ЧЧЧ.ЧЧЧ.ЧЧЧ log
> log не забыть убрать, а то файл может разбухнуть до огромных размеров.
IPFIREWALL_VERBOSE_LIMIT=200 - мой ответ Чемберлену :)
Ротация тоже не помешает.

"IPFW + alias"
Отправлено universite , 29-Май-11 01:37

>>> ipfw nat 1 config ip ЧЧЧ.ЧЧЧ.ЧЧЧ.ЧЧЧ log
>> log не забыть убрать, а то файл может разбухнуть до огромных размеров.
> IPFIREWALL_VERBOSE_LIMIT=200 - мой ответ Чемберлену :)
Это не поможет. Логи по-прежнему растут :)
Но что вы там собрались в логах смотреть?

"IPFW + alias"
Отправлено Hammer , 01-Июн-11 06:44

>>>> ipfw nat 1 config ip ЧЧЧ.ЧЧЧ.ЧЧЧ.ЧЧЧ log
>>> log не забыть убрать, а то файл может разбухнуть до огромных размеров.
>> IPFIREWALL_VERBOSE_LIMIT=200 - мой ответ Чемберлену :)
> Это не поможет. Логи по-прежнему растут :)
> Но что вы там собрались в логах смотреть?
1 Да ну?! :)
2 Всё что угодно. Я вообще очень часто логами пользуюсь.

"IPFW + alias"
Отправлено Grey , 28-Май-11 07:53

>> ipfw nat 1 config ip ЧЧЧ.ЧЧЧ.ЧЧЧ.ЧЧЧ log
>> ipfw add nat 1 ip from 192.168.1.0.24 to any via xl0 (интерфейс
>> в инет)
>> ipfw add nat 1 ip from any to ЧЧЧ.ЧЧЧ.ЧЧЧ.ЧЧЧ (белый ip)
> ipfw nat 1 config ip ЧЧЧ.ЧЧЧ.ЧЧЧ.ЧЧЧ log
> ipfw add nat 1 ip from 192.168.1.0.24 to any out via xl0
> (интерфейс в инет)
> ipfw add nat 1 ip from any to ЧЧЧ.ЧЧЧ.ЧЧЧ.ЧЧЧ in via xl0
> (белый ip)
> и так нужные двестипятьдесят-икс раз, заменяя цихфирку адын на еще плюс адын.
а ещё лучше: поднять pptp сервер и давать белые адреса для подключившихся клиентов :)

"IPFW + alias"
Отправлено PavelR , 28-Май-11 09:28

>[оверквотинг удален]
>>> в инет)
>>> ipfw add nat 1 ip from any to ЧЧЧ.ЧЧЧ.ЧЧЧ.ЧЧЧ (белый ip)
>> ipfw nat 1 config ip ЧЧЧ.ЧЧЧ.ЧЧЧ.ЧЧЧ log
>> ipfw add nat 1 ip from 192.168.1.0.24 to any out via xl0
>> (интерфейс в инет)
>> ipfw add nat 1 ip from any to ЧЧЧ.ЧЧЧ.ЧЧЧ.ЧЧЧ in via xl0
>> (белый ip)
>> и так нужные двестипятьдесят-икс раз, заменяя цихфирку адын на еще плюс адын.
> а ещё лучше: поднять pptp сервер и давать белые адреса для подключившихся
> клиентов :)
а я за управляемые коммутаторы и привязку на портах.

"IPFW + alias"
Отправлено universite , 29-Май-11 01:39

> а ещё лучше: поднять pptp сервер и давать белые адреса для подключившихся
> клиентов :)
Тссс.
Так рождается очередная домовая сетка :)

"IPFW + alias"
Отправлено PavelR , 29-Май-11 08:45

>> а ещё лучше: поднять pptp сервер и давать белые адреса для подключившихся
>> клиентов :)
> Тссс.
> Так рождается очередная домовая сетка :)
да, ещё.
В качестве бонуса.
Прописать "на большом рутере" в rc.conf:
route_bh1="-net 10.60.0.0/16 127.1 -reject"
где 10.60.0.0/16 - большая сетка реальных адресов...

Полезно когда реальники выделенной подсети (ну у меня серые, офис) выдаются по впн.
Иначе получится бесконечный цикл маршрутизации или пакеты внутреннего трафика могут попытаться вылететь в сторону провайдера.

"IPFW + alias"
Отправлено universite , 29-Май-11 22:30

> Прописать "на большом рутере" в rc.conf:
> route_bh1="-net 10.60.0.0/16 127.1 -reject"
> где 10.60.0.0/16 - большая сетка реальных адресов...
> Полезно когда реальники выделенной подсети (ну у меня серые, офис) выдаются по
> впн.
> Иначе получится бесконечный цикл маршрутизации или пакеты внутреннего трафика могут попытаться
> вылететь в сторону провайдера.
у вас где-то включено proxy-arp

"IPFW + alias"
Отправлено PavelR , 29-Май-11 22:32

>> Прописать "на большом рутере" в rc.conf:
>> route_bh1="-net 10.60.0.0/16 127.1 -reject"
>> где 10.60.0.0/16 - большая сетка реальных адресов...
>> Полезно когда реальники выделенной подсети (ну у меня серые, офис) выдаются по
>> впн.
>> Иначе получится бесконечный цикл маршрутизации или пакеты внутреннего трафика могут попытаться
>> вылететь в сторону провайдера.
> у вас где-то включено proxy-arp
у меня ?
в моем случае proxy-arp не влияет.
Влияет только маршрутизация 10.60.0.0/16 в сторону впн-сервера-доступа.

"IPFW + alias"
Отправлено universite , 29-Май-11 22:44

> у меня ?
> в моем случае proxy-arp не влияет.
> Влияет только маршрутизация 10.60.0.0/16 в сторону впн-сервера-доступа.
Каким боком сетка, описанная на другом сетевом интерфейсе должна отдаваться провайдеру?
В вашем случае proxy-arp не так работает.
Или у вас где-то arp шторм внутри сети.
У меня на mpd включен proxy-arp, но нет мусора в виде маков клиентов.
ng1: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1460
        inet 10.0.1.1 --> 10.0.1.100 netmask 0xffffffff
        inet6 fe80::2e0:4dff:fe7b:690c%ng1 prefixlen 64 scopeid 0xa
        nd6 options=3<PERFORMNUD,ACCEPT_RTADV>
ng2: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1460
        inet 10.0.1.1 --> 10.0.1.202 netmask 0xffffffff
        inet6 fe80::2e0:4dff:fe7b:690c%ng2 prefixlen 64 scopeid 0xb
        nd6 options=3<PERFORMNUD,ACCEPT_RTADV>
ng3: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1460
        inet 10.0.1.1 --> 10.0.1.201 netmask 0xffffffff
        inet6 fe80::2e0:4dff:fe7b:690c%ng3 prefixlen 64 scopeid 0xc
        nd6 options=3<PERFORMNUD,ACCEPT_RTADV>
# arp -a
? (10.0.0.10) at 00:e0:4d:a0:f8:46 on re0 expires in 509 seconds [ethernet]
? (192.168.0.1) at 00:e0:4d:7b:69:0c on re0 permanent [ethernet]
? (10.0.0.1) at 00:e0:4d:7b:69:0c on re0 permanent [ethernet]

"IPFW + alias"
Отправлено PavelR , 30-Май-11 08:08

>> у меня ?
>> в моем случае proxy-arp не влияет.
>> Влияет только маршрутизация 10.60.0.0/16 в сторону впн-сервера-доступа.
> Каким боком сетка, описанная на другом сетевом интерфейсе должна отдаваться провайдеру?
> В вашем случае proxy-arp не так работает.
> Или у вас где-то arp шторм внутри сети.
:-)
Смотри:
есть некий блок адресов, который используется для выдачи клиенту.
этот блок адресов маршрутизируется в сторону впн-сервера
впн клиент начинает работать, гоняет некий трафик, потом отключается
снаружи еще могут идти некие пакеты в сторону уже отключившегося клиента
поскольку впн-сервер не знает маршрута к отключившемуся клиенту :-)
то прилетевший для клиента пакетик начинает маршрутизироваться, и может полететь в шлюз по умолчанию.
В общем случае, пакеты к впн-клиенту могли прилететь из некоей внутренней сети, а впоследствии улететь в шлюз по умолчанию впн-сервера, таким образом имеем некую утечку.
Чтобы впн-сервер не отправлял пакеты для своих впн-клиентов в сторону внешних шлюзов и прописывается null-route.

"IPFW + alias"
Отправлено universite , 30-Май-11 20:02

> Чтобы впн-сервер не отправлял пакеты для своих впн-клиентов в сторону внешних шлюзов
> и прописывается null-route.
Это понятно.
Каким боком здесь arp-proxy и опция "-reject" ?

"IPFW + alias"
Отправлено PavelR , 30-Май-11 20:06

> Это понятно.
> Каким боком здесь arp-proxy и опция "-reject" ?
я вообще писал:
>да, ещё.
>
>В качестве бонуса.
;-)