Белый Ip, серые IP, NAT и шейпер...

[allexnew]

Здравствуйте всем.

Сменился провайдер, судьбою вышло так, то помимо того, что был выделен всего один белый IP адрес, необходимо поставить еще и шейпер, который будет ограничивать ширину канала. Это данность и ее не изменить.
В прилагаемой схеме расположения показано будущая структура. Оранжевая линия - это бывший канал, когда белых IP было несколько. Теперь в прошлую структуру серверов нужно ввести шейпер (отдельная машина с FreeBSD). Возникает масса вопросов, которые в поисковой системе сформулировать очень сложно, поэтому решил спросить у гуру.

Задача: Правильно организовать доступ пользователей к интернету используя такую структуру. Организовать доступ из интернета к почтовому, web серверу и др. служебным ресурсам.

Столкнулся с непонятными вопросами:

1. Как пробросить через шейпер трафик, таким образом, чтобы доступ из Интернет был до http, почты. Понятно что нужно будет на шейпере пользовать нат у ipfw и проброс портов. На какие команды ipfw следует обратить внимание? Немного не понятно вообще как можно будет получить прямой доступ из интернета к серверам за шейпером. Что делать если, например, 443 порт есть и у биллинга (служебный) и у WEB сервера?

2. Что делать с сервером-биллингом? Там уже организован нат. Достаточно ли просто настроить маршрутизацию на шейпер (т.е. будет фактически два ната)... Есть диапазон серых адресов выделенных провайдером, как при такой схеме будет в интернете определяться IP пользователей из LAN?

Т.е. фактически, мне нужно чтобы шейпер был вобще незаметным в обе стороны. Этаким прозрачным туннелем, функция которого ограничивать общую скорость канала.

Я не прошу подробно все описывать. Я хочу понять каким образом будет происходить взаимодействие и на что обратить внимание, в частности при настройке ната на шейпере.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[paradox]

что бы ответить на ваши вопросы нужно вам еще с сотню вопросов задать что бы понять что у вас там накручено
но если кратко

Как пробросить через шейпер трафик, таким образом, чтобы доступ из Интернет был до http, почты.

если dmz то пробросом портов

Понятно что нужно будет на шейпере пользовать нат у ipfw и проброс портов.

ммда

На какие команды ipfw следует обратить внимание?

Код: Выделить всё

man ipfw

Немного не понятно вообще как можно будет получить прямой доступ из интернета к серверам за шейпером.

просто

Что делать если, например, 443 порт есть и у биллинга (служебный) и у WEB сервера?

почитать мануал к апачу

Что делать с сервером-биллингом?

а что с ним нужно делать?и зачем?

Там уже организован нат.

а нафига?

Достаточно ли просто настроить маршрутизацию на шейпер (т.е. будет фактически два ната)...

достаточно

Есть диапазон серых адресов выделенных провайдером, как при такой схеме будет в интернете определяться IP пользователей из LAN?

с каких это пор серые адреса как то определяються в глобальном прострастве?

[allexnew]

Спасибо, ваши ответы очень помогли! Особоенно "man ipfw"

Продвижение OpenSource поэтому и тормозится, от нежелания знающих направить в правильную сторону обучающихся.

[paradox]

а к какому месту сдесь опен суорс и ваше не желание изучить предмет?

вы пытаетесь построить фаервол не понимая как он работает? увы никогда не построите
примеров сдесь на форуме хватает

[zingel]

Спасибо, ваши ответы очень помогли! Особоенно "man ipfw"

Продвижение OpenSource поэтому и тормозится, от нежелания знающих направить в правильную сторону обучающихся.

Ясельная группа на выезде....Вы что же думали, что тут бесплатный саппорт или что тут Вам всё настроят за спасибо, да ещё и запустят в продакш? Опенсурс складывается не из таких как Вы скрипткидов, а из тех кто что-то делает, _делает_, а не жалуется.

[RusBiT]

Несовсем понятно для каких именно целей вам шейпер? Кому вы будете занижать скорость?

Код: Выделить всё

ipfw add pipe 1 ip from any to ${local_ip}
ipfw pipe 1 config 1 bw 64Kbit/s

Заметки об IPFW для начала внимательно почитайте.