|
[Tomato] Wiele publicznych IP od dostawcy
|
| shibby |
Dodano 16-07-2010 13:38
|
SysOp
Posty: 17166
Dołączył: 15/01/2009 20:30
|
Mając parę publicznych adresów ip od dostawcy możemy pokusić się o wypuszczenie kazdego prywatnego ip pod innym adresem publicznym. Jeżeli adresów publicznych mamy mniej niż użytkowników robimy tak iż wybrani mają swoje publiczne ip a pozostali wychodzą przez jeden główny ip.
Założenia:
interfejs WAN - vlan1
adresy publiczne - 83.0.0.49 - 83.0.0.54
adres sieci - 83.0.0.48
adres rozgloszeniowy - 83.0.0.55
maska - 255.255.255.248, czyli 29bit
Adres główny wpisany jako WAN to 83.0.0.49
Załóżmy że chcemy adres 83.0.0.50 przydzielić komputerowi 192.168.1.5.
Dodajemy alias sieciówki
ifconfig vlan1:1 83.0.0.50 netmask 255.255.255.248
Konfigurujemy routing
iptables -t nat -I POSTROUTING -s 192.168.1.5 -j SNAT --to 83.0.0.50
iptables -t nat -I PREROUTING -d 83.0.0.50 -j DNAT --to 192.168.1.5
Oraz firewall
iptables -I FORWARD -s 83.0.0.50 -d 192.168.1.5 -j ACCEPT
Gotowe.
Te cztery pogrubione linijki wklejamy do skryptu firewall przez gui, zapisujemy i robimy restart routera i powinno działać.
Jeżeli chcemy przydzielić pozostałe publiczne ip to robimy analogicznie do ww przykładu pamiętając o zmianie nazwy aliasu sieciówki np vlan1:2, vlan1:3, vlan1:4 itd
Rozwiązanie nr 2
Posiadając większą ilość adresów ip np 30 możemy natrafić na ograniczenie wielkości firewalla. Oto rozwiązanie z pętlą.
Założenia
adresy użytkowe 83.0.0.225-83.0.0.254 z czego adres 83.0.0.225 jest adresem wpisanym jako port WAN. Maska dla podsieci to 255.255.255.224.
Przypisujemy hostom 172.16.7.XXX adresy 83.0.0.XXX
gdzie XXX to ta sama cyfra.
Petla może wyglącać tak:
Cytat min=226;
max=254;
while [ $min -le $max ]; do
ifconfig vlan1:$min 83.0.0.$min netmask 255.255.255.224
iptables -t nat -I POSTROUTING -s 172.16.7.$min -j SNAT --to 83.0.0.$min
iptables -t nat -I PREROUTING -d 83.0.0.$min -j DNAT --to 172.16.7.$min
iptables -I FORWARD -s 83.0.0.$min -d 172.16.7.$min -j ACCEPT
min=$((min+1))
done
wklejamy to do firewalla, zapisujemy, restartujemy router (lub firewalla).
Wynik pętli jest równoważny z:
Cytat ifconfig vlan1:226 83.0.0.226 netmask 255.255.255.224
iptables -t nat -I POSTROUTING -s 172.16.7.226 -j SNAT --to 83.0.0.226
iptables -t nat -I PREROUTING -d 83.0.0.226 -j DNAT --to 172.16.7.226
iptables -I FORWARD -s 83.0.0.226 -d 172.16.7.226 -j ACCEPT
ifconfig vlan1:227 83.0.0.227 netmask 255.255.255.224
iptables -t nat -I POSTROUTING -s 172.16.7.227 -j SNAT --to 83.0.0.227
iptables -t nat -I PREROUTING -d 83.0.0.227 -j DNAT --to 172.16.7.227
iptables -I FORWARD -s 83.0.0.227 -d 172.16.7.227 -j ACCEPT
ifconfig vlan1:228 83.0.0.228 netmask 255.255.255.224
iptables -t nat -I POSTROUTING -s 172.16.7.228 -j SNAT --to 83.0.0.228
iptables -t nat -I PREROUTING -d 83.0.0.228 -j DNAT --to 172.16.7.228
iptables -I FORWARD -s 83.0.0.228 -d 172.16.7.228 -j ACCEPT
ifconfig vlan1:229 83.0.0.229 netmask 255.255.255.224
iptables -t nat -I POSTROUTING -s 172.16.7.229 -j SNAT --to 83.0.0.229
iptables -t nat -I PREROUTING -d 83.0.0.229 -j DNAT --to 172.16.7.229
iptables -I FORWARD -s 83.0.0.229 -d 172.16.7.229 -j ACCEPT
ifconfig vlan1:230 83.0.0.230 netmask 255.255.255.224
iptables -t nat -I POSTROUTING -s 172.16.7.230 -j SNAT --to 83.0.0.230
iptables -t nat -I PREROUTING -d 83.0.0.230 -j DNAT --to 172.16.7.230
iptables -I FORWARD -s 83.0.0.230 -d 172.16.7.230 -j ACCEPT
ifconfig vlan1:231 83.0.0.231 netmask 255.255.255.224
iptables -t nat -I POSTROUTING -s 172.16.7.231 -j SNAT --to 83.0.0.231
iptables -t nat -I PREROUTING -d 83.0.0.231 -j DNAT --to 172.16.7.231
iptables -I FORWARD -s 83.0.0.231 -d 172.16.7.231 -j ACCEPT
ifconfig vlan1:232 83.0.0.232 netmask 255.255.255.224
iptables -t nat -I POSTROUTING -s 172.16.7.232 -j SNAT --to 83.0.0.232
iptables -t nat -I PREROUTING -d 83.0.0.232 -j DNAT --to 172.16.7.232
iptables -I FORWARD -s 83.0.0.232 -d 172.16.7.232 -j ACCEPT
ifconfig vlan1:233 83.0.0.233 netmask 255.255.255.224
iptables -t nat -I POSTROUTING -s 172.16.7.233 -j SNAT --to 83.0.0.233
iptables -t nat -I PREROUTING -d 83.0.0.233 -j DNAT --to 172.16.7.233
iptables -I FORWARD -s 83.0.0.233 -d 172.16.7.233 -j ACCEPT
ifconfig vlan1:234 83.0.0.234 netmask 255.255.255.224
iptables -t nat -I POSTROUTING -s 172.16.7.234 -j SNAT --to 83.0.0.234
iptables -t nat -I PREROUTING -d 83.0.0.234 -j DNAT --to 172.16.7.234
iptables -I FORWARD -s 83.0.0.234 -d 172.16.7.234 -j ACCEPT
ifconfig vlan1:235 83.0.0.235 netmask 255.255.255.224
iptables -t nat -I POSTROUTING -s 172.16.7.235 -j SNAT --to 83.0.0.235
iptables -t nat -I PREROUTING -d 83.0.0.235 -j DNAT --to 172.16.7.235
iptables -I FORWARD -s 83.0.0.235 -d 172.16.7.235 -j ACCEPT
ifconfig vlan1:236 83.0.0.236 netmask 255.255.255.224
iptables -t nat -I POSTROUTING -s 172.16.7.236 -j SNAT --to 83.0.0.236
iptables -t nat -I PREROUTING -d 83.0.0.236 -j DNAT --to 172.16.7.236
iptables -I FORWARD -s 83.0.0.236 -d 172.16.7.236 -j ACCEPT
ifconfig vlan1:237 83.0.0.237 netmask 255.255.255.224
iptables -t nat -I POSTROUTING -s 172.16.7.237 -j SNAT --to 83.0.0.237
iptables -t nat -I PREROUTING -d 83.0.0.237 -j DNAT --to 172.16.7.237
iptables -I FORWARD -s 83.0.0.237 -d 172.16.7.237 -j ACCEPT
ifconfig vlan1:238 83.0.0.238 netmask 255.255.255.224
iptables -t nat -I POSTROUTING -s 172.16.7.238 -j SNAT --to 83.0.0.238
iptables -t nat -I PREROUTING -d 83.0.0.238 -j DNAT --to 172.16.7.238
iptables -I FORWARD -s 83.0.0.238 -d 172.16.7.238 -j ACCEPT
ifconfig vlan1:239 83.0.0.239 netmask 255.255.255.224
iptables -t nat -I POSTROUTING -s 172.16.7.239 -j SNAT --to 83.0.0.239
iptables -t nat -I PREROUTING -d 83.0.0.239 -j DNAT --to 172.16.7.239
iptables -I FORWARD -s 83.0.0.239 -d 172.16.7.239 -j ACCEPT
ifconfig vlan1:240 83.0.0.240 netmask 255.255.255.224
iptables -t nat -I POSTROUTING -s 172.16.7.240 -j SNAT --to 83.0.0.240
iptables -t nat -I PREROUTING -d 83.0.0.240 -j DNAT --to 172.16.7.240
iptables -I FORWARD -s 83.0.0.240 -d 172.16.7.240 -j ACCEPT
ifconfig vlan1:241 83.0.0.241 netmask 255.255.255.224
iptables -t nat -I POSTROUTING -s 172.16.7.241 -j SNAT --to 83.0.0.241
iptables -t nat -I PREROUTING -d 83.0.0.241 -j DNAT --to 172.16.7.241
iptables -I FORWARD -s 83.0.0.241 -d 172.16.7.241 -j ACCEPT
ifconfig vlan1:242 83.0.0.242 netmask 255.255.255.224
iptables -t nat -I POSTROUTING -s 172.16.7.242 -j SNAT --to 83.0.0.242
iptables -t nat -I PREROUTING -d 83.0.0.242 -j DNAT --to 172.16.7.242
iptables -I FORWARD -s 83.0.0.242 -d 172.16.7.242 -j ACCEPT
ifconfig vlan1:243 83.0.0.243 netmask 255.255.255.224
iptables -t nat -I POSTROUTING -s 172.16.7.243 -j SNAT --to 83.0.0.243
iptables -t nat -I PREROUTING -d 83.0.0.243 -j DNAT --to 172.16.7.243
iptables -I FORWARD -s 83.0.0.243 -d 172.16.7.243 -j ACCEPT
ifconfig vlan1:244 83.0.0.244 netmask 255.255.255.224
iptables -t nat -I POSTROUTING -s 172.16.7.244 -j SNAT --to 83.0.0.244
iptables -t nat -I PREROUTING -d 83.0.0.244 -j DNAT --to 172.16.7.244
iptables -I FORWARD -s 83.0.0.244 -d 172.16.7.244 -j ACCEPT
ifconfig vlan1:245 83.0.0.245 netmask 255.255.255.224
iptables -t nat -I POSTROUTING -s 172.16.7.245 -j SNAT --to 83.0.0.245
iptables -t nat -I PREROUTING -d 83.0.0.245 -j DNAT --to 172.16.7.245
iptables -I FORWARD -s 83.0.0.245 -d 172.16.7.245 -j ACCEPT
ifconfig vlan1:246 83.0.0.246 netmask 255.255.255.224
iptables -t nat -I POSTROUTING -s 172.16.7.246 -j SNAT --to 83.0.0.246
iptables -t nat -I PREROUTING -d 83.0.0.246 -j DNAT --to 172.16.7.246
iptables -I FORWARD -s 83.0.0.246 -d 172.16.7.246 -j ACCEPT
ifconfig vlan1:247 83.0.0.247 netmask 255.255.255.224
iptables -t nat -I POSTROUTING -s 172.16.7.247 -j SNAT --to 83.0.0.247
iptables -t nat -I PREROUTING -d 83.0.0.247 -j DNAT --to 172.16.7.247
iptables -I FORWARD -s 83.0.0.247 -d 172.16.7.247 -j ACCEPT
ifconfig vlan1:248 83.0.0.248 netmask 255.255.255.224
iptables -t nat -I POSTROUTING -s 172.16.7.248 -j SNAT --to 83.0.0.248
iptables -t nat -I PREROUTING -d 83.0.0.248 -j DNAT --to 172.16.7.248
iptables -I FORWARD -s 83.0.0.248 -d 172.16.7.248 -j ACCEPT
ifconfig vlan1:249 83.0.0.249 netmask 255.255.255.224
iptables -t nat -I POSTROUTING -s 172.16.7.249 -j SNAT --to 83.0.0.249
iptables -t nat -I PREROUTING -d 83.0.0.249 -j DNAT --to 172.16.7.249
iptables -I FORWARD -s 83.0.0.249 -d 172.16.7.249 -j ACCEPT
ifconfig vlan1:250 83.0.0.250 netmask 255.255.255.224
iptables -t nat -I POSTROUTING -s 172.16.7.250 -j SNAT --to 83.0.0.250
iptables -t nat -I PREROUTING -d 83.0.0.250 -j DNAT --to 172.16.7.250
iptables -I FORWARD -s 83.0.0.250 -d 172.16.7.250 -j ACCEPT
ifconfig vlan1:251 83.0.0.251 netmask 255.255.255.224
iptables -t nat -I POSTROUTING -s 172.16.7.251 -j SNAT --to 83.0.0.251
iptables -t nat -I PREROUTING -d 83.0.0.251 -j DNAT --to 172.16.7.251
iptables -I FORWARD -s 83.0.0.251 -d 172.16.7.251 -j ACCEPT
ifconfig vlan1:252 83.0.0.252 netmask 255.255.255.224
iptables -t nat -I POSTROUTING -s 172.16.7.252 -j SNAT --to 83.0.0.252
iptables -t nat -I PREROUTING -d 83.0.0.252 -j DNAT --to 172.16.7.252
iptables -I FORWARD -s 83.0.0.252 -d 172.16.7.252 -j ACCEPT
ifconfig vlan1:253 83.0.0.253 netmask 255.255.255.224
iptables -t nat -I POSTROUTING -s 172.16.7.253 -j SNAT --to 83.0.0.253
iptables -t nat -I PREROUTING -d 83.0.0.253 -j DNAT --to 172.16.7.253
iptables -I FORWARD -s 83.0.0.253 -d 172.16.7.253 -j ACCEPT
ifconfig vlan1:254 83.0.0.254 netmask 255.255.255.224
iptables -t nat -I POSTROUTING -s 172.16.7.254 -j SNAT --to 83.0.0.254
iptables -t nat -I PREROUTING -d 83.0.0.254 -j DNAT --to 172.16.7.254
iptables -I FORWARD -s 83.0.0.254 -d 172.16.7.254 -j ACCEPT
W ten sposób kazdy prywatny adres ip dostanie swoj odpowiednik adresu publicznego. Tym ktorzy maja wychodzic przez glowny adres x.225 dajemy prywatny adres z poza adresacji 226-254
Rozwiązanie nr 3 - dzieki andoros
Jeszcze mała dygresja 
Może się zdarzyć, że będziemy chcieli wykorzystać adresy nie będące kolejnymi liczbami (np: 83.0.0.50, 83.0.0.53, ...57, ...60)
Proponuję wtedy zastosować pętlę for
for var in 50 53 57 60 (i kolejne rodzielone spacją)
do
ifconfig vlan1:$var 83.0.0.$var netmask 255.255.255.224
iptables -t nat -I POSTROUTING -s 172.16.7.$var -j SNAT --to 83.0.0.$var
iptables -t nat -I PREROUTING -d 83.0.0.$var -j DNAT --to 172.16.7.$var
iptables -I FORWARD -s 83.0.0.$var -d 172.16.7.$var -j ACCEPT
done
w wyniku otrzymamy:
ifconfig vlan1:50 83.0.0.50 netmask 255.255.255.224
iptables -t nat -I POSTROUTING -s 172.16.7.50 -j SNAT --to 83.0.0.50
iptables -t nat -I PREROUTING -d 83.0.0.50 -j DNAT --to 172.16.7.50
iptables -I FORWARD -s 83.0.0.50 -d 172.16.7.50 -j ACCEPT
ifconfig vlan1:53 83.0.0.53 netmask 255.255.255.224
iptables -t nat -I POSTROUTING -s 172.16.7.53 -j SNAT --to 83.0.0.53
iptables -t nat -I PREROUTING -d 83.0.0.53 -j DNAT --to 172.16.7.53
iptables -I FORWARD -s 83.0.0.53 -d 172.16.7.53 -j ACCEPT
ifconfig vlan1:57 83.0.0.57 netmask 255.255.255.224
iptables -t nat -I POSTROUTING -s 172.16.7.57 -j SNAT --to 83.0.0.57
iptables -t nat -I PREROUTING -d 83.0.0.57 -j DNAT --to 172.16.7.57
iptables -I FORWARD -s 83.0.0.57 -d 172.16.7.57 -j ACCEPT
ifconfig vlan1:60 83.0.0.60 netmask 255.255.255.224
iptables -t nat -I POSTROUTING -s 172.16.7.60 -j SNAT --to 83.0.0.60
iptables -t nat -I PREROUTING -d 83.0.0.60 -j DNAT --to 172.16.7.60
iptables -I FORWARD -s 83.0.0.60 -d 172.16.7.60 -j ACCEPT
Podziękował.
btw za testy dziekuję koledze andoros.
Na koniec parę słów o dzieleniu skryotem tak routowanego łącza
[quote]andoros napisał/a:
Dla jasności zagadnienia sprawdziłem jeszcze wpływ powiązania prywatnego z publicznym adresem IP na podział pasma.
Otóż nie ma zadnego wpływu.
Można się było tego spodziewać ponieważ podzial pasma jest definiowany tylko na adresach prywatnych i z tego punktu widzenia nie jest istotne jakim adresem publicznym wychodzą pakiety do internetu.
quote]
Edytowany przez shibby dnia 19-07-2010 07:41
Router: Unifi Cloud Gateway Fiber
Switch: Unifi USW-Lite-16-PoE
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 4x 2TB SSD
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| ovner |
Dodano 08-09-2011 17:08
|
Power User
Posty: 368
Dołączył: 15/08/2009 21:34
|
Jak przerobić skrypt żeby przydzielał zewnętrzne IP dynamicznie, to znaczy IP od dostawcy nie jest stałe, lecz zmienne routowalne i jest przydzielane na podstawie MAC adresu karty sieciowej podłączonej do modemu i zmieniane co jakiś czas bliżej nie określony. Mam przydzielone 3 adresy do modemu ale mogą pochodzić z różnych puli adresowych i jeden na stałe zajmuje router a pozostałe chce przekierować bezpośrednio na laptopa gdzie zmieniając sobie maca zmieniam IP, przydatne przy serwisach hostingowych.
TUF-AX5400 @ Firmware:388.1_0-gnuton1
RT-N16 @ FreshTomato Firmware 2023.3 MIPSR2 K26 USB VPN + Huawei e3372 no-hilink
 |
| |
|
|
| marny |
Dodano 06-08-2013 16:21
|
User
Posty: 49
Dołączył: 22/11/2011 19:35
|
Krok 1. Ustalenie, czy WAN IP się zmieniło.
Przykład skryptu (do przerobienia) tutaj. Generalnie chodzi o odczyt wan_ipaddr (nvram get).
Krok 2. Jeśli zmiana nastąpiła, to wykonujemy np. skrypt Rozwiązanie nr 3.
Z ew. modyfikacją taką, że możemy trzymać osobną listę końcówek adresów hostów w pulach publicznej i prywatnej
Np.
ip_inside_list="50 53 57 60"
ip_outside_list="2 3 4 5"
Nie podaję przykładu skryptu, bo nie mam chwilowo dostępu do shella.
Skrypt można wrzucić do schedulera na np. co 1 minutę.
|
| |
|
|
| mariusz84 |
Dodano 01-04-2015 14:40
|
User
Posty: 4
Dołączył: 18/10/2009 12:12
|
Witam mam pytanie od UPC dostałem 5 IP statycznych mam podłączony Router do WAN do gniazda nr 1 w modemie UPC
IP na sieć mam 84.10.61.66 typu komputery wi fi tablety
natomiast chce przekierować kolejny ip jaki dostałem z puli tylko dla telefonu VoIP
mam wklejony skrypt w firewall restart był
#Dodajemy alias sieci
ifconfig vlan1:1 84.10.61.67 netmask 255.255.255.252
#Konfigurujemy routing
iptables -t nat -I POSTROUTING -s 192.168.1.10 -j SNAT --to 84.10.61.67
iptables -t nat -I PREROUTING -d 84.10.61.67 -j DNAT --to 192.168.1.10
#Oraz firewall
iptables -I FORWARD -s 84.10.61.67 -d 192.168.1.10 -j ACCEPT
Tel VoIP jest na zewnątrz widziane jako inne IP 84.10.61.67 ale mam problem się do niego dostać z publicznego na 84.10.61.67 z innego miejsca nie mogę też ping-ować
zaś lokalnie zarządzanie po www i ping owanie działa po 192.168.1.10 normalnie
co może być przyczyną czy jakaś dodatkowa reguła w firewallu tak jakby DMZ zrobić 84.10.61.67 -> 192.168.1.10
*komputery i ten telefon jest oczywiście podłączony do gniazda LAN w routerze. Restartuje zawsze router po każdej zmianie w firewallu celowo 84.10.XX.67 zmieniałem tą liczbę w IP tak dla prywatności
dziękuje
mój router :
1.28.0000 MIPSR2-124 K26 USB AIO
Model Netgear WNR3500L v2
Chipset Broadcom BCM5357 chip rev 2 pkg 10
CPU Freq 480MHz
Flash Size 128MB |
| |
|
|
| shibby |
Dodano 01-04-2015 14:49
|
SysOp
Posty: 17166
Dołączył: 15/01/2009 20:30
|
UPC nie daje adresów statycznych, tylko przydzielanych przez DHCP. Musiałbyś zatem po stworzeniu aliasu zmienić mu adres MAC a następnie wywołać udhcpc na tym interfejsie by pobrał sobie drugi adres. Niestety nie testowałem takiego rozwiązania.
Router: Unifi Cloud Gateway Fiber
Switch: Unifi USW-Lite-16-PoE
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 4x 2TB SSD
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| mc1100 |
Dodano 08-05-2019 14:47
|
User
Posty: 12
Dołączył: 01/05/2019 13:13
|
Czy w rozwiązaniu nr 1 istotna jest kolejność wpisywanych zewnętrznych adresów IP z danej puli i czy IP główny dla użytkowników z IP wewnętrznymi musi być jako pierwszy z klasy?? Póki co u mnie nie chce to ruszyć.
Netgear WNR3500L v2
soft tomato-Netgear-3500Lv2-K26USB-1.28.RT-N5x--116-PL-AIO |
| |
|
|
| hermes-80 |
Dodano 08-05-2019 22:10
|
VIP
Posty: 3682
Dołączył: 21/04/2009 11:24
|
Pokaż wynik komendy ifconfig -a
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| mc1100 |
Dodano 09-05-2019 00:19
|
User
Posty: 12
Dołączył: 01/05/2019 13:13
|
root@unknown:/tmp/home/root# ifconfig -a
br0 Link encap:Ethernet HWaddr 14:59:C0:87:55:E2
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3795 errors:0 dropped:0 overruns:0 frame:0
TX packets:3449 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:489737 (478.2 KiB) TX bytes:2188475 (2.0 MiB)
eth0 Link encap:Ethernet HWaddr 14:59:C0:87:55:E2
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:7510 errors:0 dropped:0 overruns:0 frame:0
TX packets:6120 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:2564907 (2.4 MiB) TX bytes:2637325 (2.5 MiB)
Interrupt:4 Base address:0x2000
eth1 Link encap:Ethernet HWaddr 14:59:C0:87:55:E4
UP BROADCAST RUNNING ALLMULTI MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
Interrupt:3 Base address:0x1000
imq0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-0 0-00
NOARP MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:30
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
imq1 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-0 0-00
NOARP MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:30
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MULTICAST MTU:16436 Metric:1
RX packets:8 errors:0 dropped:0 overruns:0 frame:0
TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:570 (570.0 B) TX bytes:570 (570.0 B)
vlan1 Link encap:Ethernet HWaddr 14:59:C0:87:55:E2
UP BROADCAST RUNNING ALLMULTI MULTICAST MTU:1500 Metric:1
RX packets:3799 errors:0 dropped:0 overruns:0 frame:0
TX packets:3449 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:505153 (493.3 KiB) TX bytes:2202271 (2.0 MiB)
vlan2 Link encap:Ethernet HWaddr 14:59:C0:87:55:E3
inet addr:78.11.3.124 Bcast:78.11.3.125 Mask:255.255.255.240
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3711 errors:0 dropped:0 overruns:0 frame:0
TX packets:2671 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1924574 (1.8 MiB) TX bytes:435054 (424.8 KiB)
vlan2:134 Link encap:Ethernet HWaddr 14:59:C0:87:55:E3
inet addr:78.11.3.134 Bcast:78.11.3.125 Mask:255.255.255.240
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Połączony z 09 maj 2019 22:50:53:
Na końcówce( ruterze) ustawiamy adres IP publiczny czy wewnętrzny??
Edytowany przez mc1100 dnia 09-05-2019 22:50
|
| |
|
|
| KenyBDG |
Dodano 23-07-2019 09:31
|
User
Posty: 94
Dołączył: 20/07/2008 13:08
|
Czy jest możliwość przypisanie publicznego IP do VLANu. Mam 5 publicznych adresów, oraz 5 VLANów, chciałbym aby każdy VLAN miał swój publiczny IP. |
| |
|
|
| shibby |
Dodano 23-07-2019 09:40
|
SysOp
Posty: 17166
Dołączył: 15/01/2009 20:30
|
nie ma tu żadnego problemu. Po prostu zamiast ip lokalnego hosta wskazujesz podsieć danego VLANu. Przykładowo:
VLAN1 to twój WAN o IP 83.0.0.225, .226, .227, .228 i masce 255.255.255.224
br0 192.168.0.0/24
br1 192.168.1.0/24
br2 192.168.2.0/24
br3 192.168.3.0/24
br0 wyjdzie domyślnym adresem IP, tym przypisanym w WAN (83.0.0.225) więc dla br0 nic nie robisz, a dla pozostałych podsieci:
ifconfig vlan1:1 83.0.0.226 netmask 255.255.255.224
iptables -t nat -I POSTROUTING -s 192.168.1.0/24 -j SNAT --to 83.0.0.226
iptables -t nat -I PREROUTING -d 83.0.0.226 -j DNAT --to 192.168.1.0/24
iptables -I FORWARD -s 83.0.0.226 -d 192.168.1.0/24 -j ACCEPT
ifconfig vlan1:2 83.0.0.227 netmask 255.255.255.224
iptables -t nat -I POSTROUTING -s 192.168.2.0/24 -j SNAT --to 83.0.0.227
iptables -t nat -I PREROUTING -d 83.0.0.227 -j DNAT --to 192.168.2.0/24
iptables -I FORWARD -s 83.0.0.226 -d 192.168.2.0/24 -j ACCEPT
ifconfig vlan1:3 83.0.0.228 netmask 255.255.255.224
iptables -t nat -I POSTROUTING -s 192.168.3.0/24 -j SNAT --to 83.0.0.228
iptables -t nat -I PREROUTING -d 83.0.0.228 -j DNAT --to 192.168.3.0/24
iptables -I FORWARD -s 83.0.0.228 -d 192.168.3.0/24 -j ACCEPT
i powinno ruszyć.
Router: Unifi Cloud Gateway Fiber
Switch: Unifi USW-Lite-16-PoE
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 4x 2TB SSD
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| KenyBDG |
Dodano 23-07-2019 13:54
|
User
Posty: 94
Dołączył: 20/07/2008 13:08
|
Dzięki, wszystko działa
Ale jest teraz inny problem, mianowicie, dla jednego IP przypisałem publiczny IP, dlatego IP mam tez przekierowany port. W tej chwili działa to tak że do tego urządzenia mogę się dostać z IP 83.0.0.226 oraz 83.0.0.227, a chciałbym tylko z 83.0.0.227
iptables -I FORWARD -s 83.0.0.226 -d 192.168.1.11 -j DROP ?
Edytowany przez KenyBDG dnia 23-07-2019 14:02
|
| |
|
' target='_blank'>Link
