отрицание not в ipfw

[Gamerman]

Судя с мана
addr: [not] {any | me | me6 | table(number[,value]) | addr-list |
addr-set}

Можно ли одной командой сделать что-то подобное к
$cmd 00331 allow all from any to (not 10.200.23.0/24) and (not 10.202.20.0/24)

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[paradox]

нет
но можно сделать по другому через tables

[Gamerman]

Получается, что нот относится только ко всему списку

[paradox]

(not 10.200.23.0/24) and (not 10.202.20.0/24)

не список?

[Gamerman]

Имел в виду, что нот относиться ко всему выражению, но не может относиться к части выражения

[paradox]

Код: Выделить всё

not 10.200.23.0/24,10.202.20.0/24

так не?

[Gamerman]

Что-то меня переклинило неверно пример написал.
Нужно например так:
нат - (не для сети 10.200.20.0/24) и (для сети 192.168.100.0/24)

PS
С таблицами тоже не очень красиво получается.

[schizoid]

по-моему нет параметра and, есть параметр or
сформулируйте конкретно задачу.

[Gamerman]

по-моему нет параметра and, есть параметр or
сформулируйте конкретно задачу.

Так как нет параметра and, пытался придумать, как записать то правило, которое указано выше. Не получается. Приходиться писать несколько (например 2).

[schizoid]

такое нужно?

нат - (не для сети 10.200.20.0/24) и (для сети 192.168.100.0/24)

[Gamerman]

Да, потому что укртелеком строит ВПН таким образом, что машины с одной сети не знают куда идти, если им нужно идти дальше сети (ВПН от УТК).
Грубо говоря, на ихнем центральном роутере нет понятия "шлюз по умолчанию". Я, правда, не сильно их и напрягал по этому вопросу, проще самому нат поднять.

[schizoid]

что-то я все равно не пойму, нат - (не для сети 10.200.20.0/24) и (для сети 192.168.100.0/24)
сети то не пересекаются. чего нельзя сделать НАт только для 192.168.100.0/24 и не трогать остальные сети?

[Gamerman]

что-то я все равно не пойму, нат - (не для сети 10.200.20.0/24) и (для сети 192.168.100.0/24)
сети то не пересекаются. чего нельзя сделать НАт только для 192.168.100.0/24 и не трогать остальные сети?

Потому что я выхожу с сети 10.202.0.0/24. Без ната я вижу сеть 10.200.20.0/24 и точку 192.168.100.20.
Но есть еще точки, с адресами 192.168.100.Х, и сети 10.200.Х.Х, которые без ната мне не увидеть.

[schizoid]

а при чем тут телеком вообще?
что-то вы походу намутили мудреное. нарисуйте схему, если не трудно.

[Gamerman]

а при чем тут телеком вообще?
что-то вы походу намутили мудреное. нарисуйте схему, если не трудно.

Потому что сеть 192,168,100,0/24 и 10,200,0,0/24 делается через услугу ВПМ (Віртуальна приватна мережа ) от УТК.
Например пакет от точки 10.200.21.21 к точке 10.200.200.200 идет так:
10.200.21.21 - 10.200.21.1 - АйПи УТК (172.16.Х.Х) - 192.168.100.20 - 10.200.20.200
Есть сеть 10.202.0.0/24. По глупой маршрутизации УТК пакет с точки 10.200.21.21 на эту сеть дойдет только до 172.16.Х.Х
То есть 10.200.21.21 - 10.200.21.1 - 172.16.Х.Х и тут СТОП. Так как маршрутизатор 172.16.Х.Х мне не подконтролен и у него не прописано куда идти на адрес 10.202.0.0/24.
Сеть 10.202.0.0 это еще один сегмент подключеный к сети 10.200.20.0/24.

[schizoid]

постройте свою сеть на ВПНах поверх телекомовской и используйте адреса которые вам удобны.

[Gamerman]

постройте свою сеть на ВПНах поверх телекомовской и используйте адреса которые вам удобны.

А зачем? Так на конечных машинах параметры ТСР/ІР настроил и все работает.
А НАТ настроить нужно для 1 точки, что собственно и сделано. Только не одной командой для фаервола, но то был вопрос скорее эстетики чем функциональности.

Кроме того, такая ущербность маршрутизатора УТК имеет и свой плюс. Кривой трафик обрывается на маршрутизаторе и не забивает каналы на других сегментах.

[schizoid]

покажите как у вас сделано двумя (или несколькими) правилами

[Gamerman]

покажите как у вас сделано двумя (или несколькими) правилами

Чуть позже, потому как поламал в процессе экспериментов.
Несколько правил именно для НАТ имелось в виду.

[Gamerman]

Код: Выделить всё

     #Nat z OVPN na corporativku

     ipfw nat 1 config if $lif  same_ports
     $cmd 00202 nat 1 ip from 10.202.0.2 to not 10.200.20.0/24, 192.168.100.20  via $lif
     $cmd 00203 nat 1 ip from any to me  via $lif

$cmd 00202 nat 1 ip from 10.202.0.2 to not 10.200.20.0/24, 192.168.100.20 via $lif
Выделено то, что я хотел эстетично оформить. Вроде даже получилось

[schizoid]

а так?

Код: Выделить всё

ipfw add nat 1 ip from 10.202.0.2 to { 192.168.100.20 or not 10.200.20.0/24 } via bge0

[Gamerman]

а так?

Код: Выделить всё

ipfw add nat 1 ip from 10.202.0.2 to { 192.168.100.20 or not 10.200.20.0/24 } via bge0

Мне нужно чтобы на 192.168.100.20 шло напрямую, а в вашем примере оно пойдет через НАТ.

[schizoid]

Что-то меня переклинило неверно пример написал.
Нужно например так:
нат - (не для сети 10.200.20.0/24) и (для сети 192.168.100.0/24)

?

[Gamerman]

Это тоже было правильно (на момент написания поста), но потом обнаружилось, что есть адрес 192.168.100.20, для которого натить не надо было. Посколько натить нужно было адреса, которые ходили через один интерфейс, то оказалось, что проще было натить все с этого интерфейса, кроме указаных адресов. Так и получилось последнее правило.