Erek Posted January 24, 2016 · Report post Добрый вечер . Ломаю голову как реализовать : 1. имеется 2 аплинка через 1 uplink используется mascarading через второй uplink мне необходимо во внешнею сеть выпустить блок белых ip адресов . на локальном интерфейсе выдаю 1 ip из блока белых адресов , его в качестве шлюза указываю клиентам с белыми ip 2. На клиентской машине проверяю через 2ip.ru внешний ip и показывает ip первого uplinka. 3. Выключаю 1 uplink и теперь внешний ip отображается правильно . Вопрос: как заставить трафик белых адресов идти через свой uplink ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SSD Posted January 24, 2016 · Report post Добрый вечер . Ломаю голову как реализовать : 1. имеется 2 аплинка через 1 uplink используется mascarading через второй uplink мне необходимо во внешнею сеть выпустить блок белых ip адресов . на локальном интерфейсе выдаю 1 ip из блока белых адресов , его в качестве шлюза указываю клиентам с белыми ip 2. На клиентской машине проверяю через 2ip.ru внешний ip и показывает ip первого uplinka. 3. Выключаю 1 uplink и теперь внешний ip отображается правильно . Вопрос: как заставить трафик белых адресов идти через свой uplink ? Маркировать трафик и разруливать по интерфейсам. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Erek Posted January 24, 2016 · Report post Спасибо за направление Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Барагоз Posted January 24, 2016 · Report post Для такой простой задачи я бы не маркировал, ip route rule достаточно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted January 24, 2016 · Report post Создаете в маршрутах маршрут на сеть провайдера с белыми адресами, указав маркировку, например test. В манглах создаете правило, где src адрес = вашим белым адресам (указываете подсеть, либо диапазон через тире, например 11.22.33.10-11.22.33.123), действие марк роутинг указываете test. Входящий трафик по белым адресам и так придет с оператора, который эти адреса предоставляет, а исходящий вы туда отправите этим правилом. Все остальное, например кто работает с серых через НАТ, пойдет через другого провайдера. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sheft Posted January 24, 2016 (edited) · Report post всёб вам красить и метить... маркировать не обязательно, можно белые адреса выпускать через любой аплинк, а вот возвращаться они всё равно будут на второй аплинк... правило типа: /ip firewall natadd action=accept chain=srcnat disabled=no out-interface=первый_аплинк src-address=ваш.блок.белых.адресов правило должно быть выше маскарада Edited January 24, 2016 by sheft Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Constantin Posted January 25, 2016 · Report post ожно белые адреса выпускать через любой аплинк, а вот возвращаться они всё равно будут на второй аплинк... глупости не говорите, с какого перепуга нормальный провайдер будет обслуживать "чужие" адреса??? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sheft Posted January 25, 2016 (edited) · Report post ожно белые адреса выпускать через любой аплинк, а вот возвращаться они всё равно будут на второй аплинк... глупости не говорите, с какого перепуга нормальный провайдер будет обслуживать "чужие" адреса??? что значит нормальный и какое ему дело до того какие адреса источника убегают через клиентский канал? Мегафон/синтерра, мтс, андерс, старттелеком, ростелеком -это какие, нормальные или нет провайдеры? Edited January 25, 2016 by sheft Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sheft Posted January 25, 2016 · Report post глупости не говорите, с какого перепуга нормальный провайдер будет обслуживать "чужие" адреса??? 99.999% адресов в интернете не принадлежат провайдеру,но тем не менее он их "обслуживает" через второй uplink мне необходимо во внешнею сеть выпустить блок белых ip адресов . на локальном интерфейсе выдаю 1 ip из блока белых адресов , его в качестве шлюза указываю клиентам с белыми ip я пришёл к выводу что это нерационально и не оперативно, если не имеется прямого доступа к этим компьютерам, в настоящий момент предпочитаю раздавать белые через сурс и дестинейшен нат... а на клиентских исключительно серые IP Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SSD Posted January 25, 2016 · Report post глупости не говорите, с какого перепуга нормальный провайдер будет обслуживать "чужие" адреса??? 99.999% адресов в интернете не принадлежат провайдеру,но тем не менее он их "обслуживает" Что вы понимаете под "обслуживает"? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted January 25, 2016 · Report post Обычно у провайдеров стоят фильтры, то есть не их адреса через оборудование провайдера не пройдут. Хотя бывают и исключения, когда оператор ничего не блокирует, его вышестоящий тоже не блокирует, тогда данные по ним пойдут по назначению, но нет гарантии что после очередного апгрейда оборудования, либо жалоб, ситуация не изменится. всёб вам красить и метить... маркировать не обязательно, можно белые адреса выпускать через любой аплинк, а вот возвращаться они всё равно будут на второй аплинк... правило типа: /ip firewall nat add action=accept chain=srcnat disabled=no out-interface=первый_аплинк src-address=ваш.блок.белых.адресов правило должно быть выше маскарада Вообще если используют белые адреса отключают НАТ и делают именно роутинг, что менее накладно по ресурсам. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sheft Posted January 25, 2016 · Report post Что вы понимаете под "обслуживает"? пропускает, специально "обслуживает" в кавычках написал пропускать только свои адреса -это либо *** на тему безопасности, либо хз, из вредности/жадности... я понимаю блокировка чужых серых адресов, но блокировать белые... не знаю а при /ip firewall nat add action=accept chain=srcnat disabled=no out-interface=первый_аплинк src-address=ваш.блок.белых.адресов правило должно быть выше маскарада Вообще если используют белые адреса отключают НАТ и делают именно роутинг, что менее накладно по ресурсам. а это правило разве является натом по своей сути? насчёт нагрузки сказать не могу, у меня таким образом бегает 10ок адресов всего, на общем фоне не заметно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted January 25, 2016 · Report post я понимаю блокировка чужых серых адресов, но блокировать белые... не знаю Белые он не блокирует, он не пропускает чужие белые адреса от абонента. Например, если есть 2 провайдера, и оба ничего не блокируют, то можно выдавать запросы на исход через любого, но ответы придут через тот, которому принадлежат адреса. а это правило разве является натом по своей сути? насчёт нагрузки сказать не могу, у меня таким образом бегает 10ок адресов всего, на общем фоне не заметно. Оно находится в разделе НАТ, значит является. Суть в том, что если все адреса белые, отключают CT, что бы освободить процессор наполовину от лишних задач, и указанное вами правило тоже перестанет работать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Constantin Posted January 25, 2016 · Report post я понимаю блокировка чужых серых адресов, но блокировать белые... не знаю кхе кхе.....учиться учиться и еще раз учиться.......овсяная каша в голове по данному направлению деятельности не есть гуд однозначно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fiskunt Posted January 25, 2016 · Report post Вообще не понимаю чего хочет автор. Взять белые адреса у одного провайдера и пустить их через другого? Ну так они однозначно работать как белые не будут ибо совсем не смаршрутизированы у второго провайдоса. В любом случае все запросы на них из паутины полезут через папку (т.е. первого провайдера) Уважаемый автор, плюнь на это дело и не страдай больше подобной херней. Зачем вообще второго провайдера взял? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sheft Posted January 26, 2016 (edited) · Report post кхе кхе.....учиться учиться и еще раз учиться.......овсяная каша в голове по данному направлению деятельности не есть гуд однозначно. :) растолкуйте пожалуйста неучу чем это так плохо... или чревато. Тоесть если с аплинком договориться о BGP, то пускать чужие можно, если не договариваться, то уже нельзя. Я вот в упор не понимаю, чем это плохо. Суть интернета, и в пакетной передаче в частности, по моему в том, что пакеты могут бегать разными путями, что исходящие, что входящие. Я подозреваю что подобное недопустимо с точки зрения урождённого телефониста взросшего на коммутации каналов или адептов Симметрии... Где, в каких манах или спецификациях указано что пакеты должны бегать исключительно симметрично? Вообще не понимаю чего хочет автор. Взять белые адреса у одного провайдера и пустить их через другого? Ну так они однозначно работать как белые не будут ибо совсем не смаршрутизированы у второго провайдоса. В любом случае все запросы на них из паутины полезут через папку (т.е. первого провайдера) Уважаемый автор, плюнь на это дело и не страдай больше подобной херней. Зачем вообще второго провайдера взял? автор взял второго аплинка, тот выдал ему блок белых адресов, топикстартер раздал эти белые, но эти белые по дефолту лезут через первый аплинк, на котором висит маскарад, и толку от белых адресов соответственно ноль.... что тут непонятного... Edited January 26, 2016 by sheft Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fiskunt Posted January 26, 2016 (edited) · Report post автор взял второго аплинка, тот выдал ему блок белых адресов, топикстартер раздал эти белые, но эти белые по дефолту лезут через первый аплинк, на котором висит маскарад, и толку от белых адресов соответственно ноль.... что тут непонятного... Да вот это и было непонятно. По первому посту выглядит так, что автор сам хочет затолкать белые адреса не в их аплинк, а не бороться с этим. Вопрос накой хер ему это надо Edited January 26, 2016 by fiskunt Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Erek Posted February 15, 2016 · Report post Решил данную задачу через: Router list - rules , указал src сеть белых адресов ,table = ipbelie . в routes создал маршрут 0.0.0.0/0 шлюз через какой интерфейс должны идти адреса и routing mark =iptable Все замечательно работает. Спасибо Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...