объединение сегментов аля bgp, есть мысли?

SPSPaWn · Непрочитанное сообщение **SPSPaWn** » 2018-02-09 16:03:26

Доброго времени суток камрады)
Имеется сегмент 10.16.x.x/16 и 172.23.x.x/16 - ip 172.23.x.y
Все под управлением FreeBSD 7
в сегменте 172.23.x.xx имеется web сервер
все ходят через nat
${fwcmd} add 2400 nat 100 all from "10.16.68.0/24{x,x,x и тд}" to any via ${interface_inet}
соответственно все выходят из под одного ip 172.23.x.y
Таким образом поймать злоумышленника сложно, нужно, чтобы каждый ходил из под своего ip сегмента 172.23.x.x/16 (можно повесить alias-ом)
Может как то через netgraph, чтобы не поднимать bgp и тп!????

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

skeletor

Зачем здесь nat, bgp, netgraph? Без всего этого люди будут ходить под своими IP на ваш webserver. У вас же везде серые адреса.

SPSPaWn · Непрочитанное сообщение **SPSPaWn** » 2018-02-15 19:47:10

Юзвери ходят из 10.16.x.y это другой интерфейс, а в 172. находятся все сервисы

Отправлено спустя 43 минуты 20 секунд:
Здание №1
Mikrotik (172.22.1.1/24)
Сервер FreeBSD (172.22.1.50/24) + 10.16.1.y/24 до 200 хостов
Здание №2
Mikrotik (172.23.1.1/24)
Сервер FreeBSD (172.23.1.50/24) + 10.16.11.yy/24 до 200 хостов
Здание №3
Mikrotik (172.24.1.1/24)
Сервер FreeBSD (172.24.1.50/24) + 10.16.111.yyy/24 до 200 хостов
Mikrotik связанны vpn PPTP
172.24.0.0/12 управляющая сеть, много различных серверов и различных ресурсов в разных сегментах.
в 172.24.0.0/12 все хосты доступны, пинги ходят ресурсы живут, все крутится.
10.16 попадают в 172-ю через nat, но это было удобно до поры до времени.
Был поднят web сервер и соответственно невозможно идентифицировать юзверей на сайте, каждое здание выходит из под своего ip сервера (172.22{23,24}.1.50)
Вопрос: Чем лучше, без нагрузок и танцами с бубнами, настроить маршрутизацию 10.16.1.y/24->172.23.1.у/24 (соответственно), чтобы юзвери индетифицировались под своими ip или из 172 фейковые?

FiL · Непрочитанное сообщение **FiL** » 2018-02-16 0:19:44

просто убрать nat. Пускай ходят прямо без ната.

SPSPaWn · Непрочитанное сообщение **SPSPaWn** » 2018-02-16 10:37:47

Это понятно) Но без nat видно только по сегментно (выделенно кррасным), шлюза на Mikrotik не видно
На каждом сервере стоит vpn mpd, если через vpn ходит все прекрасно, но через nat(((

Отправлено спустя 7 минут 48 секунд:
Шлюз Mikrotika является дефолтным для FreeBSD

skeletor

Видимо нужно прописать маршруты в каждую из подсетей и обойтись без НАТа. НАТ не нужен в вашем случае, это лишний overhead.

SPSPaWn · Непрочитанное сообщение **SPSPaWn** » 2018-02-16 13:57:57

Видимо нужно прописать маршруты в каждую из подсетей и обойтись без НАТа

Код: Выделить всё

ifconfig
        bge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:xx:xx:xx:xx:xx
        inet 10.16.x.10 netmask 0xffffff00 broadcast 10.16.x.255
        media: Ethernet autoselect (1000baseTX <full-duplex>)
        status: active
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:21:27:c6:b2:3d
        inet 172.22.1.50 netmask 0xffffff00 broadcast 172.22.1.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active

Маршруты на FreeBSD есть

Код: Выделить всё

default            172.22.1.1         UGS         0 1327735930    rl0
10.16.x.0/24      link#2             UC          0        0   bge0
172.22.1.0/24      link#3             UC          0        0    rl0
172.22.1.1         d4:ca:6d:39:1c:cf  UHLW        3      993    rl0   1194
172.22.1.50        00:21:27:c6:b2:3d  UHLW        1        0    lo0
172.22.1.100       d4:ae:52:66:cb:d1  UHLW        1        1    rl0    191
172.22.1.110       00:1e:4f:11:55:52  UHLW        1        1    rl0    193
172.23.1.0/24      172.22.1.1         UGS         0 63039124    rl0
172.24.1.0/24      172.22.1.1         UGS         0   841061    rl0

На клиенте тоже

Код: Выделить всё

route add 172.22.1.0 mask 255.255.255.0 10.16.x.10
route add 172.23.1.0 mask 255.255.255.0 10.16.x.10
route add 172.24.1.0 mask 255.255.255.0 10.16.x.10

Пинги до 172.22(3,4).1.1 не ходят

skeletor

Ну тогда смотрите через tcpdump, почему кто и куда не может идти. Возможно дело в файерволе.

SPSPaWn · Непрочитанное сообщение **SPSPaWn** » 2018-02-16 15:06:26

skeletor писал(а): Возможно дело в файерволе

Код: Выделить всё

Одно правило
65535 8870756021 6713982005832 allow ip from any to any

Отправлено спустя 54 минуты 7 секунд:
проблема в Mikrotik, до него все приходит. Благо у него свой tcpdump(torch).
Проблема другая, почему он не отвечает на запросы(((

Отправлено спустя 9 минут 13 секунд:
Всем спасибо, разобрался

forum.lissyara.su