Subnets.ru

Нужно пробросить белые ip и при етом PATить серые.
Зачем? Дом. сетка кому-то нано белый кому-то серый.

Прошу не по теме или погугли не писать в тему.

ну а в чем собвственно вопрос ? будет ли это работать ? будет.

пророути на сервер сетку реальников, на один из них (на несколько, если нуна), повесь NAT, а остальные раздавай так.
главное, чтобы реальники, которые должны идти мимо NAT`а, в него не попадали (т.е. поставить разрешающие (allow) правила ДО правил с натом), а все серые загоняй в NAT.

как поднять ng_nat у нас есть статья в блоге: Выпускаем локальную сеть в Интернет используя сервер на FreeBSD и ng_nat
используй её как пример

мне надо и нат и пат, ибо я не могу просто пророутить, так как сложна структура сети(vlan и 3 роутера после), если можно то как ето сделать средствами ната, ибо в винде ето не проблема, только вот винда ето проблема

Paltish писал(а):Нужно пробросить белые ip и при етом PATить серые.
Зачем? Дом. сетка кому-то нано белый кому-то серый.

Мы обслуживаем несколько домашних сеток и нигде не занимаемся портфорвардингом с белых адресов на серые (ибо НАТ серверам и так есть, чем заняться: тем же РАТ для серых подсетей).
Аргумент:

сложна структура сети(vlan и 3 роутера после)

мне вообще не понятен - это, я бы сказал, что обычная топология сети

я прошу написать как ето зделать а не поспорить зачем, не очень хочетсо прописывать везде по пару маршрутов тратиь итак нехватющие айпы, на тему получить BGP тоже не конает ибо тогда надо плотить либо прову за то что он на UA-IX транслирует через себя либо чтоб стать членом етой орг(UA-IX)

Дано:
192.168.20.8 - реальник для static NAT
192.168.20.9 - реальник для PAT
192.168.56.2 - серый адрес для static NAT
192.168.56.0/24 - подесть для PAT

Решение:

Код: Выделить всё

###создаем ноду nat и подключаем к ipfw
/usr/sbin/ngctl mkpeer ipfw: nat 60 out
###даем ноде имя "natA"
/usr/sbin/ngctl name ipfw:60 natA   
###соединяем входящие и исходящие хуки  для "natA"
/usr/sbin/ngctl connect ipfw: natA: 61 in
###Посылаем управляющее сообщение в виде структуры для редиректа
/usr/sbin/ngctl msg natA: redirectaddr '{ local_addr=192.168.56.2 alias_addr=192.168.20.8 description="redir_addr" }'
###посылаем управляющее сообщение в виде IP адреса, через который будет работать нат.   
/usr/sbin/ngctl msg natA: setaliasaddr 192.168.20.9

###Добавляем правила в IPFW
ipfw add 100 netgraph 61 ip from any to 192.168.20.8 via em0 in
ipfw add 110 netgraph 61 ip from any to 192.168.20.9 via em0 in
ipfw add 120 netgraph 60 ip from 192.168.56.0/24 to any via em0 out


P.S.: Спорить никто и не собирается, так... делимся опытом: надо - будет принят на вооружение, нет - значит не нужен
P.P.S.: Вышенаписанное - есть компилляция из статьи и man ng_nat

Список текущих редиректов можно глянуть командой:

Код: Выделить всё

/usr/sbin/ngctl msg natA: listredirects

Удаление редиректа с ID=5:

Код: Выделить всё

/usr/sbin/ngctl msg natA: redirectdelete 5

Paltish писал(а):так как сложна структура сети(vlan и 3 роутера после)

нарисуй схемку, по ней мы предложим тебе какую нить реализацию, т.к. задача вроде как понятна: "раздать реальники некоторым абонентам"

Благодарю за помощь, проверю отпишусь, по поводу схемки, просто очень лень рисовать. Кстати ещо вопросец пока не хочу плодить новую тему ну все же, Если прокидівать ip без пата а маршрутами, то pipe как будет делить канал если дать доступ опустим двум по 3м но при етом канал 4м? При чистом нате или марш. практически делит по равну.

Проверил не работает , нетграф показует id но айп не работает.