Пробросить белый ip. Нужен совет.
-
Для того чтобы отдать сеть арендатору VLAN'ом нужно чтобы между ним и pfsense стоял умный свитч, который VLAN'ы понимает. Либо тупой свитч, но тогда сетевая карта арендатора должна понимать VLAN (где-то в ее свойствах в диспетчере оборудования). Во втором случае возможны варианты, информация противоречивая. В теории тупой свитч должен пропускать VLAN, но, говорят, некоторые и дропают.
Буду исходить из того, что, что свич у меня умный (есть еще 2, может какой-то и подойдет). Какие мои дальнейшие действия? И есть ли какая методика проверки свича на "интеллект" :)?
-
Просто модель свитча озвучте.
-
Я сейчас в другой конторе собрал "сеть" из компа-pfSense + компа-WindowsXP, буду пытаться передать компу с Windows "реальный" IP. Очень бы хотелось получить подсказку, что и где надо прописывать, а то уже "крыша едет", вроде бы и в файерволл надо залезть, и в NAT, видимо еще куда-то, о чем я и не догадываюсь.
-
Если я правильно Вас понял, то мне нужно реализовать этот механизм, поправьте, если не так: http://doc.pfsense.org/index.php/HOWTO_setup_vlans_with_pfSense
-
Нет, это из другой оперы что-то. Вам нужно вот что: сделать еще один интерфейс (не важно как вы этого добьетесь - вставите в pfSense еще одну сетевую карту и соедините ее отдельным кабелем с арендатором, или на существующей карте LAN сделаете VLAN и настроите свитч так, чтобы арендатор был в этом VLAN'е). Затем взять 4 IP, которые вам даст провайдер (скажем, x.x.x.32, x.x.x.33, x.x.x.34 и x.x.x.35), назначить второй из них (x.x.x.33) новому интерфейсу pfSense, третий (x.x.x.34) - компу арендатора, маска подсети и там и там: 255.255.255.252 (т.е. /30). Назначить шлюзом на компе арендатора адрес нового интерфейса pfSense (x.x.x.33) и настроить firewall (никакого NAT не надо, если есть - убрать!). Это - все!
-
Но это случай, когда на каждую клиентскую машину провайдер выдает четверку IP, с ним мне все понятно (надеюсь :-). А я сейчас хочу сделать хоть что-то с тем, что у меня есть, а именно: 3 адреса и шлюз - один на всех. Это реально или я бьюсь впустую?
Я нашел вот такой вариант: http://thin.kiev.ua/router-os/50-pfsense/455–ip-pfsense-20.html или это тоже не то? (правда и этот вариант у меня не работает) -
Я нашел вот такой вариант: http://thin.kiev.ua/router-os/50-pfsense/455–ip-pfsense-20.html или это тоже не то? (правда и этот вариант у меня не работает)
Данная статья называется - Несколько ip адресов на одном интерфейсе в Pfsense 2.0
Вы конечно можете попробовать присвоить WAN интерфейсу три дополнительных IP и сделать портфорвард всех портов на локальный
IP ваших арендаторов. Возможно что-то и получится похожее на белый IP. -
Собственно, я нечто подобное и имел в виду, но… пока ничего не работает, то ли мозгов не хватает, то ли это принципиально нереализуемо (это меня и бесит, что не знаю "Правильным путем идет товарищ...", то есть я, или нет, и опять пытаюсь создать из г... пулю!?)
-
Собственно, я нечто подобное и имел в виду, но… пока ничего не работает, то ли мозгов не хватает, то ли это принципиально нереализуемо
Реализуемо http://thin.kiev.ua/router-os/50-pfsense/608-portforvard-nat.html
Пробуйте.
-
Спасибо, буду пробовать, если получится - хоть что-то смогу предъявить.
-
Ага! Собрал модель из двух компов pfSense + WIndows XP и… сработало! Завтра проверю на реальном "железе". Большое человеческое "угу" всем откликнувшимся на мой стон. Вот только не знаю, как убедиться, что комп с Windows XP "откликается" на тот адрес, который я задал, как alias IP в pfSense, можно как-то простым способом это посмотреть?
-
Ага! Собрал модель из двух компов pfSense + WIndows XP и… сработало! Завтра проверю на реальном "железе". Большое человеческое "угу" всем откликнувшимся на мой стон. Вот только не знаю, как убедиться, что комп с Windows XP "откликается" на тот адрес, который я задал, как alias IP в pfSense, можно как-то простым способом это посмотреть?
Откл. (временно) встроенный брэндмауэр или др. аналогичное ПО в системе, разрешите (временно) удаленный доступ на нем (RDP). Затем извне телнет на 3389. Если пройдет - все ок, нет -значит что-то не так. Это первое , что пришло в голову. Ну и пинг проверьте.
-
Вот только не знаю, как убедиться, что комп с Windows XP "откликается" на тот адрес, который я задал, как alias IP в pfSense, можно как-то простым способом это посмотреть?
Если все порты открыты - пинг на белый айпи. Если локальную машину отключить - пинги пропадут. Еще можно пуск - выполнить-
\ белый-ip - Enter -
2 almo2006
Ну теперь готовьтесь ;D И UDP открыты и 445 порт в инет "светится" (приснопамятная Служба сервера - один Conficker чего стоил).
Я бы все-таки такой "шикарный" доступ не давал. Просто бы NAT-ил машину через собственный белый адрес. Ну и порты нужные пробрасывал по мере необходимости. -
2 almo2006
Ну теперь готовьтесь ;D И UDP открыты и 445 порт в инет "светится" (приснопамятная Служба сервера - один Conficker чего стоил).
Я бы все-таки такой "шикарный" доступ не давал. Просто бы NAT-ил машину через собственный белый адрес. Ну и порты нужные пробрасывал по мере необходимости.У человека арендаторы. Пробросит айпишник и предупредит. А там пусть сами парятся с безопасностью. Я бы в такой ситуации, делал физически отделенную локальную сеть - для таких смелых (недопонимающих) Дабы не навредить своей сетке. :-)
А в доке про пробросу IP, имеется предупреждение на этот счёт.
-
2 almo2006
Ну теперь готовьтесь ;D И UDP открыты и 445 порт в инет "светится" (приснопамятная Служба сервера - один Conficker чего стоил).
Я бы все-таки такой "шикарный" доступ не давал. Просто бы NAT-ил машину через собственный белый адрес. Ну и порты нужные пробрасывал по мере необходимости.У человека арендаторы. Пробросит айпишник и предупредит. А там пусть сами парятся с безопасностью. Я бы в такой ситуации, делал физически отделенную локальную сеть - для таких смелых (недопонимающих) Дабы не навредить своей сетке. :-)
А в доке про пробросу IP, имеется предупреждение на этот счёт.
Тогда уж отдельная сетевая + VLAN. И как недорогой вариант - dir-100 в кач-ве L2-свитча с этим справится.
-
Ура! Все работает, всем откликнувшимся большое спасибо! Мне кажется, содержимое этой ветки форума (я имею в виду рекомендации rubic + dr.gopher, а не свои "вопли и сопли") - вполне готовый HOWTO, я заметил, многие так или иначе сталкиваются с этой проблемой: "пробросить IP", а им чаще всего рекомендуют пробросить порт, и только здесь я получил исчерпывающую инфу, "что надо делать и чего не надо". Еще раз спасибо, полагаю, что тема УСПЕШНО закрыта.
-
2 almo2006
Ну теперь готовьтесь ;D И UDP открыты и 445 порт в инет "светится" (приснопамятная Служба сервера - один Conficker чего стоил).
Я бы все-таки такой "шикарный" доступ не давал. Просто бы NAT-ил машину через собственный белый адрес. Ну и порты нужные пробрасывал по мере необходимости.А вот кстати вопрос на тему: в мане http://doc.pfsense.org/index.php/1:1_NAT на 1:1 нат написано "To allow traffic in from the Internet, you must add a firewall rule…."
И вот тут http://forum.pfsense.org/index.php/topic,49229.0.html тоже пишут что по умолчанию закрыто снаружи
Так ли это или я неправильно понимаю? Выглядит как безопасное решение? Т.е. наружу идет, а во внутрь только после настройки фаера?
А то тоже вот прокидывать белый IP собираюсь пользователю свой сети.. -
Т.е. наружу идет, а во внутрь только после настройки фаера?
Трафик свободно идет наружу из (изнутри) самого pfSense , а во-внутрь pfSense на всех интерфейсах требуется настройка правил
-
Т.е. наружу идет, а во внутрь только после настройки фаера?
Трафик свободно идет наружу из (изнутри) самого pfSense , а во-внутрь pfSense на всех интерфейсах требуется настройка правил
Т.е. в сумме с галочкой о блокировки локального трафика это вполне себе безопасное решение?
Наружу лишнего не светится, внутрь изначально закрыто.
Просто слишком уж просто все выглядит :) Ощущение подвоха не оставляет меня как новичка в теме.
