https://www.opennet.ru/openforum/vsluhforumID1/91654.html keymap="ru.koi8-r"<br>ifconfig_em0="inet 192.168.1.1 netmask 255.255.255.0"<br>cloned_interfaces="vlan101"<br>ifconfig_vlan101="10.10.0.4 netmask 255.255.0.0 vlan 101 vlandev em0 up"<br>gateway_enable="yes"<br>sshd_enable="YES"<br>mpd_enable="yes"<br>mpd_flags="-b"<br>firewall_enable="YES"<br>firewall_type="/etc/ipfw.rules"<br>natd_enable="YES"<br>natd_interface="em1"<br>ifconfig_em1="inet 95.167.214.245 netmask 255.255.255.0"<br>ifconfig_em1_alias0="inet 95.167.214.67 netmask 255.255.0 up"<br>defaultrouter="95.167.214.1"<br>hostname="host.DJAMPER"<br><br>Это мой rc.conf.<br><br>Вот ipfw.rules<br><br>delete 200<br>delete 300<br>add 303 divert natd ip from 172.16.0.0/16 to any <br>add 304 divert natd ip from any to me in via em1<br>add allow ip from any to any via lo0<br>add allow ip from any to any<br><br><br>Всё замечательно работает, вопрос вот в чём заключается.<br>Как видите у меня на em1 интерфейсе висит Ip внешний, но он не один как видите я прикрутил ещё 1 белый Ip.<br><br>таковых у нас ещё 250 штук. А вот теперь вопрос.<br>Какие правила надо прописать в IPFW.rul https://www.opennet.ru/openforum/vsluhforumID1/91654.html#33 Thu, 02 Jun 2011 09:53:30 GMT <br>&gt;[оверквотинг удален]<br>&gt; <br>&gt; to accept packets addressed to the old interface. If <br>&gt; the address <br>&gt; <br>&gt; is on the same subnet as the first network address <br>&gt; for this <br>&gt; <br>&gt; interface, a non-conflicting netmask must be given. Usually <br>&gt; <br>&gt; 0xffffffff is most appropriate.<br><br>[code]<br>[12:51]vm1:root-&gt;/root# uname -a<br>FreeBSD vm1.local 8.2-STABLE FreeBSD 8.2-STABLE #0: Fri May 27 02:30:57 EEST 2011 root@vm1.local:/usr/obj/usr/src/sys/virtualbox.2 amd64<br>[12:51]vm1:root-&gt;/root# ifconfig lo0 inet 1.1.1.2/30 alias<br>[12:51]vm1:root-&gt;/root# ifconfig lo0 inet 1.1.1.1/29 alias<br>[12:51]vm1:root-&gt;/root# ifconfig lo0<br>lo0: flags=8049&lt;UP,LOOPBACK,RUNNING,MULTICAST&gt; metric 0 mtu 16384<br> options=3&lt;RXCSUM,TXCSUM&gt;<br> inet 127.0.0.1 netmask 0xff000000<br> inet6 ::1 prefixlen 128<br> inet6 fe80::1%lo0 prefixlen 64 scopeid 0x7<br> inet 1.1.1.2 netmask 0xfffffffc<br> inet 1.1.1.1 netmask 0xfffffff8<br> nd6 options=3&lt;PERFORMNUD https://www.opennet.ru/openforum/vsluhforumID1/91654.html#32 Thu, 02 Jun 2011 03:34:27 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; таковых у нас ещё 250 штук. А вот теперь вопрос.<br>&gt;&gt;&gt;&gt; Какие правила надо прописать в IPFW.rules что абонентам которым надо другой внешний <br>&gt;&gt;&gt;&gt; IP давался Ip из какого нибудь alias. например абоненту с Ip <br>&gt;&gt;&gt;&gt; 172.16.6.65?<br>&gt;&gt;&gt; Т.Е. Ты умудрился на один интерфейс прикрутить два ip из одной подсетки?<br>&gt;&gt;&gt; И работает? 8-() <br>&gt;&gt; маска разная - этого достаточно <br>&gt; Что то я засомневался.<br>&gt; т.е. 1.1.1.1 255.255.255.248 и 1.1.1.2 255.255.255.252 прекрасно будут работать на одном <br>&gt; интерфейсе?<br><br>man ifconfig<br>/alias<br><br> alias Establish an additional network address for this interface. This<br> is sometimes useful when changing network numbers, and one wishes<br> to accept packets addressed to the old interface. If the address<br> is on the same subnet as the first network address for this<br> interface, a non-conflicting netmask must be given. Usually<br> 0xffffffff is most appropriate.<br><br> https://www.opennet.ru/openforum/vsluhforumID1/91654.html#31 Wed, 01 Jun 2011 02:44:07 GMT &gt;&gt;&gt;&gt; ipfw nat 1 config ip ЧЧЧ.ЧЧЧ.ЧЧЧ.ЧЧЧ log <br>&gt;&gt;&gt; log не забыть убрать, а то файл может разбухнуть до огромных размеров.<br>&gt;&gt; IPFIREWALL_VERBOSE_LIMIT=200 - мой ответ Чемберлену :) <br>&gt; Это не поможет. Логи по-прежнему растут :) <br>&gt; Но что вы там собрались в логах смотреть?<br><br>1 Да ну?! :)<br>2 Всё что угодно. Я вообще очень часто логами пользуюсь.<br> https://www.opennet.ru/openforum/vsluhforumID1/91654.html#30 Mon, 30 May 2011 16:06:22 GMT <br>&gt; Это понятно.<br>&gt; Каким боком здесь arp-proxy и опция "-reject" ?<br><br>я вообще писал:<br><br>&gt;да, ещё. <br>&gt;<br>&gt;В качестве бонуса.<br><br>;-)<br> https://www.opennet.ru/openforum/vsluhforumID1/91654.html#29 Mon, 30 May 2011 16:02:02 GMT <br>&gt; Чтобы впн-сервер не отправлял пакеты для своих впн-клиентов в сторону внешних шлюзов <br>&gt; и прописывается null-route.<br><br>Это понятно.<br>Каким боком здесь arp-proxy и опция "-reject" ?<br> https://www.opennet.ru/openforum/vsluhforumID1/91654.html#28 Mon, 30 May 2011 04:08:14 GMT &gt;&gt; у меня ?<br>&gt;&gt; в моем случае proxy-arp не влияет.<br>&gt;&gt; Влияет только маршрутизация 10.60.0.0/16 в сторону впн-сервера-доступа.<br>&gt; Каким боком сетка, описанная на другом сетевом интерфейсе должна отдаваться провайдеру? <br>&gt; В вашем случае proxy-arp не так работает.<br>&gt; Или у вас где-то arp шторм внутри сети.<br><br>:-)<br><br>Смотри:<br><br>есть некий блок адресов, который используется для выдачи клиенту.<br>этот блок адресов маршрутизируется в сторону впн-сервера<br>впн клиент начинает работать, гоняет некий трафик, потом отключается<br>снаружи еще могут идти некие пакеты в сторону уже отключившегося клиента<br><br>поскольку впн-сервер не знает маршрута к отключившемуся клиенту :-) <br>то прилетевший для клиента пакетик начинает маршрутизироваться, и может полететь в шлюз по умолчанию.<br>В общем случае, пакеты к впн-клиенту могли прилететь из некоей внутренней сети, а впоследствии улететь в шлюз по умолчанию впн-сервера, таким образом имеем некую утечку.<br><br>Чтобы впн-сервер не отправлял пакеты для своих впн-клиентов в сторону внешних шл https://www.opennet.ru/openforum/vsluhforumID1/91654.html#27 Sun, 29 May 2011 18:44:34 GMT &gt; у меня ?<br>&gt; в моем случае proxy-arp не влияет.<br>&gt; Влияет только маршрутизация 10.60.0.0/16 в сторону впн-сервера-доступа.<br><br>Каким боком сетка, описанная на другом сетевом интерфейсе должна отдаваться провайдеру?<br>В вашем случае proxy-arp не так работает.<br>Или у вас где-то arp шторм внутри сети.<br><br>У меня на mpd включен proxy-arp, но нет мусора в виде маков клиентов.<br>[code]<br>ng1: flags=88d1&lt;UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST&gt; metric 0 mtu 1460<br> inet 10.0.1.1 --&gt; 10.0.1.100 netmask 0xffffffff<br> inet6 fe80::2e0:4dff:fe7b:690c%ng1 prefixlen 64 scopeid 0xa<br> nd6 options=3&lt;PERFORMNUD,ACCEPT_RTADV&gt;<br>ng2: flags=88d1&lt;UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST&gt; metric 0 mtu 1460<br> inet 10.0.1.1 --&gt; 10.0.1.202 netmask 0xffffffff<br> inet6 fe80::2e0:4dff:fe7b:690c%ng2 prefixlen 64 scopeid 0xb<br> nd6 options=3&lt;PERFORMNUD,ACCEPT_RTADV&gt;<br>ng3: flags=88d1&lt;UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST&gt; metric 0 mtu 1460<br> inet 10.0.1.1 --&gt; 10.0.1.201 netmask 0x https://www.opennet.ru/openforum/vsluhforumID1/91654.html#26 Sun, 29 May 2011 18:32:53 GMT &gt;&gt; Прописать "на большом рутере" в rc.conf: <br>&gt;&gt; route_bh1="-net 10.60.0.0/16 127.1 -reject" <br>&gt;&gt; где 10.60.0.0/16 - большая сетка реальных адресов...<br>&gt;&gt; Полезно когда реальники выделенной подсети (ну у меня серые, офис) выдаются по <br>&gt;&gt; впн.<br>&gt;&gt; Иначе получится бесконечный цикл маршрутизации или пакеты внутреннего трафика могут попытаться <br>&gt;&gt; вылететь в сторону провайдера.<br>&gt; у вас где-то включено proxy-arp <br><br>у меня ?<br><br>в моем случае proxy-arp не влияет.<br>Влияет только маршрутизация 10.60.0.0/16 в сторону впн-сервера-доступа.<br> https://www.opennet.ru/openforum/vsluhforumID1/91654.html#25 Sun, 29 May 2011 18:30:54 GMT <br>&gt; Прописать "на большом рутере" в rc.conf: <br>&gt; route_bh1="-net 10.60.0.0/16 127.1 -reject" <br>&gt; где 10.60.0.0/16 - большая сетка реальных адресов...<br>&gt; Полезно когда реальники выделенной подсети (ну у меня серые, офис) выдаются по <br>&gt; впн.<br>&gt; Иначе получится бесконечный цикл маршрутизации или пакеты внутреннего трафика могут попытаться <br>&gt; вылететь в сторону провайдера.<br><br>у вас где-то включено proxy-arp<br>