Перечень способов "раздать реальные IP адреса"

[Unreg]

Предположим, провайдер выделил некую подсеть

$ sipcalc 192.0.2.56/29

(Нажмите, чтобы показать/скрыть)

-[ipv4 : 192.0.2.56/29] - 0

[CIDR]
Host address            - 192.0.2.56
Host address (decimal)  - 3221226040
Host address (hex)      - C0000238
Network address         - 192.0.2.56
Network mask            - 255.255.255.248
Network mask (bits)     - 29
Network mask (hex)      - FFFFFFF8
Broadcast address       - 192.0.2.63
Cisco wildcard          - 0.0.0.7
Addresses in network    - 8
Network range           - 192.0.2.56 - 192.0.2.63
Usable range            - 192.0.2.57 - 192.0.2.62

-

Задача - раздать эти IP адреса

1 способ - использовать коммутатор
Схема сети

(Нажмите, чтобы показать/скрыть)

Рисунок 1

2 способ - использовать некую Unix подобную ОС
Схема сети

(Нажмите, чтобы показать/скрыть)

Рисунок 2

Используем в качестве примера Debian

Сведения о системе:
$ uname -a; cat /etc/debian_version

Код: [Выделить]

Linux gwdeb 2.6.26-2-686 #1 SMP Thu Nov 25 01:53:57 UTC 2010 i686 GNU/Linux
5.0.7
Предварительные настройки
$ cat /etc/apt/sources.list

(Нажмите, чтобы показать/скрыть)

#
# deb cdrom:[Debian GNU/Linux 5.0.6 _Lenny_ - Official i386 CD Binary-1 20100904-18:58]/ lenny main

# deb cdrom:[Debian GNU/Linux 5.0.6 _Lenny_ - Official i386 CD Binary-1 20100904-18:58]/ lenny main

deb http://mirror.yandex.ru/debian/ lenny main
deb-src http://mirror.yandex.ru/debian/ lenny main

deb http://security.debian.org/ lenny/updates main
deb-src http://security.debian.org/ lenny/updates main

deb http://volatile.debian.org/debian-volatile lenny/volatile main
deb-src http://volatile.debian.org/debian-volatile lenny/volatile main

$ su -c "nano /etc/resolv.conf"

nameserver 8.8.8.8
nameserver 8.8.4.4

$ su -c "aptitude update; aptitude install openssh-server -y"

2a Proxy ARP

На GW1

Код: [Выделить]

$ su -c "nano /etc/network/interfaces"

(Нажмите, чтобы показать/скрыть)

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
#allow-hotplug eth0
#iface eth0 inet dhcp
iface eth0 inet manual
post-up ip link set dev eth0 up
post-up ip address add 192.0.2.62/29 dev eth0
post-up ip route del 192.0.2.56/29 dev eth0

# The second network interface
auto eth1
#allow-hotplug eth1
#iface eth1 inet dhcp
iface eth1 inet manual
post-up ip link set dev eth1 up
post-up ip address add 192.0.2.62/29 dev eth1
post-up ip route del 192.0.2.56/29 dev eth1
post-up ip route add 192.0.2.57/32 dev eth0
post-up ip route add 192.0.2.56/29 dev eth1
post-up echo 1 > /proc/sys/net/ipv4/conf/eth0/proxy_arp
post-up echo 1 > /proc/sys/net/ipv4/conf/eth1/proxy_arp
post-up route add default gw 192.0.2.57
post-up sysctl -w net.ipv4.ip_forward=1

$ su -c reboot

На клиенте
$ su -c "nano /etc/resolv.conf"

nameserver 8.8.8.8
nameserver 8.8.4.4

$ su -c "nano /etc/network/interfaces"

(Нажмите, чтобы показать/скрыть)

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
#allow-hotplug eth0
#iface eth0 inet dhcp
iface eth0 inet static
address 192.0.2.58
netmask 255.255.255.248
gateway 192.0.2.62

2b Как вариант можно использовать bridge-utils

На GW1

Код: [Выделить]

$ su -c "aptitude update; aptitude install bridge-utils -y"

Код: [Выделить]

$ cat /etc/network/interfaces

(Нажмите, чтобы показать/скрыть)

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
#allow-hotplug eth0
#iface eth0 inet dhcp
iface eth0 inet manual

# The second network interface
auto eth1
#allow-hotplug eth1
#iface eth1 inet dhcp
iface eth1 inet manual

# Bridge between eth0 and eth1
auto br0
#iface br0 inet dhcp
iface br0 inet static
address 192.0.2.62
netmask 255.255.255.248
network 192.0.2.56
gateway 192.0.2.57
pre-up ifconfig eth0 down
pre-up ifconfig eth1 down
pre-up brctl addbr br0
pre-up brctl addif br0 eth0
pre-up brctl addif br0 eth1
pre-up ifconfig eth0 0.0.0.0
pre-up ifconfig eth1 0.0.0.0
post-down ifconfig eth0 down
post-down ifconfig eth1 down
post-down ifconfig br0 down
post-down brctl delif br0 eth0
post-down brctl delif br0 eth1
post-down brctl delbr br0

Код: [Выделить]

$ su -c reboot На клиенте
$ su -c "nano /etc/resolv.conf"

nameserver 8.8.8.8
nameserver 8.8.4.4

Код: [Выделить]

$ su -c "nano /etc/network/interfaces"

(Нажмите, чтобы показать/скрыть)

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
#allow-hotplug eth0
#iface eth0 inet dhcp
iface eth0 inet static
address 192.0.2.58
netmask 255.255.255.248
gateway 192.0.2.57

2с NAT 1:1

Схема сети

(Нажмите, чтобы показать/скрыть)

Рисунок 3

Код: [Выделить]

$ su -c "nano /etc/network/interfaces"

(Нажмите, чтобы показать/скрыть)

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
#allow-hotplug eth0
#iface eth0 inet dhcp
iface eth0 inet static
address 192.0.2.58
netmask 255.255.255.248
gateway 192.0.2.57
post-up iptables-restore -c < /var/ipt
post-down iptables-save -c > /var/ipt
post-up sysctl net.ipv4.ip_forward=1

auto eth0:1
iface eth0:1 inet static
address 192.0.2.59
netmask 255.255.255.248

auto eth0:2
iface eth0:2 inet static
address 192.0.2.60
netmask 255.255.255.248

auto eth0:3
iface eth0:3 inet static
address 192.0.2.61
netmask 255.255.255.248

auto eth0:4
iface eth0:4 inet static
address 192.0.2.62
netmask 255.255.255.248

auto eth1
allow-hotplug eth1
iface eth1 inet static
address 172.16.1.1
netmask 255.255.255.248

Код: [Выделить]

$ su -

(Нажмите, чтобы показать/скрыть)

iptables -P FORWARD ACCEPT
iptables -P INPUT ACEEPT
iptables -vF
iptables -vF -t nat
iptables -vF -t mangle
iptables -t mangle -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
iptables -t nat -A PREROUTING -d 192.0.2.59 -j DNAT --to-destination 172.16.1.3
iptables -t nat -A PREROUTING -d 192.0.2.60 -j DNAT --to-destination 172.16.1.4
iptables -t nat -A PREROUTING -d 192.0.2.61 -j DNAT --to-destination 172.16.1.5
iptables -t nat -A PREROUTING -d 192.0.2.62 -j DNAT --to-destination 172.16.1.6
iptables -t nat -A POSTROUTING -s 172.16.1.2 -j SNAT --to-source 192.0.2.58
iptables -t nat -A POSTROUTING -s 172.16.1.3 -j SNAT --to-source 192.0.2.59
iptables -t nat -A POSTROUTING -s 172.16.1.4 -j SNAT --to-source 192.0.2.60
iptables -t nat -A POSTROUTING -s 172.16.1.5 -j SNAT --to-source 192.0.2.61
iptables -t nat -A POSTROUTING -s 172.16.1.6 -j SNAT --to-source 192.0.2.62
iptables -A INPUT -m conntrack --ctstate INVALID -j DROP
iptables -A INPUT -i ! lo -m addrtype --src-type LOCAL -j DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -i eth0 -p udp -m udp --sport 67 --dport 68 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth1 -m conntrack --ctstate NEW -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate INVALID -j DROP
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 172.16.1.0/29 -i eth1 -m conntrack --ctstate NEW -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
iptables -P FORWARD DROP
iptables -P INPUT DROP

iptables-save > /var/ipt

Код: [Выделить]

# rebootНа клиенте
$ su -c "nano /etc/resolv.conf"

nameserver 8.8.8.8
nameserver 8.8.4.4

Код: [Выделить]

$ su -c "nano /etc/network/interfaces"

(Нажмите, чтобы показать/скрыть)

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
#allow-hotplug eth0
#iface eth0 inet dhcp
iface eth0 inet static
address 172.16.1.2
netmask 255.255.255.248
gateway 172.16.1.1

Собственно моей фантазии хватит еще только на поставить pppoe сервер

Кто-нибудь более красивые способы может предложить?

[drako]

Роутинг, но адресов малова-то будет.

[Unreg]

drako, можно немного подробней?
под маршрутизацией понимается процесс определения маршрута и передача данных по выбранному маршруту

имелось ввиду

Код: [Выделить]

gw isp 192.0.2.57 - eth0 192.0.2.58 router eth1 192.0.2.59 - lan (192.0.2.60..62)?
                            sysctl net.ipv4.ip_forward=1

[drako]

Размер минимальной сети 4 адреса, а у вас в задачке их 8, потому и написал что их мало - фактически раздать можно будет только 1. Т.е. отрезаем первые 4 адреса и вешаем их на "внешнюю" сетевую роутера, из оставшихся вешаем 1 на "внутреннюю" сетевую, два адреса задают саму сеть и широковещательный адрес, ну а оставшееся раздаем клиентам. Далее действуем в зависимости от поддержки провом динамической маршрутизации или её отутствия.

Код: [Выделить]

gw isp 192.0.2.57 - eth0 192.0.2.58 router eth1 192.0.2.61 - lan 192.0.2.62
sysctl net.ipv4.ip_forward=1
iptables по вкусу (полный доступ или с ограничениями)


[Unreg]

а собственно слона я и не увидел

(Нажмите, чтобы показать/скрыть)

$ ipcalc 192.0.2.56/29 /30
Address:   192.0.2.56           11000000.00000000.00000010.00111 000
Netmask:   255.255.255.248 = 29 11111111.11111111.11111111.11111 000
Wildcard:  0.0.0.7              00000000.00000000.00000000.00000 111
=>
Network:   192.0.2.56/29        11000000.00000000.00000010.00111 000
HostMin:   192.0.2.57           11000000.00000000.00000010.00111 001
HostMax:   192.0.2.62           11000000.00000000.00000010.00111 110
Broadcast: 192.0.2.63           11000000.00000000.00000010.00111 111
Hosts/Net: 6                     Class C

Subnets after transition from /29 to /30

Netmask:   255.255.255.252 = 30 11111111.11111111.11111111.111111 00
Wildcard:  0.0.0.3              00000000.00000000.00000000.000000 11

 1.
Network:   192.0.2.56/30        11000000.00000000.00000010.001110 00
HostMin:   192.0.2.57           11000000.00000000.00000010.001110 01
HostMax:   192.0.2.58           11000000.00000000.00000010.001110 10
Broadcast: 192.0.2.59           11000000.00000000.00000010.001110 11
Hosts/Net: 2                     Class C

 2.
Network:   192.0.2.60/30        11000000.00000000.00000010.001111 00
HostMin:   192.0.2.61           11000000.00000000.00000010.001111 01
HostMax:   192.0.2.62           11000000.00000000.00000010.001111 10
Broadcast: 192.0.2.63           11000000.00000000.00000010.001111 11
Hosts/Net: 2                     Class C


Subnets:   2
Hosts:     4

При таком подходе почти не важно, что подразумевается под GW1 - только бы умело статическую маршрутизацию и соответствующие физические сетевые интерфейсы

[drako]

Если GW1 шлюз провайдера, то лучше бы, чтоб он работал на динамической маршрутизации - проблем меньше с перераспределением подсетей меньше будет.

[Unreg]

"GW1" это как раз ПК с *nix
Пользователь решил продолжить мысль 25 Декабря 2010, 02:16:16:Понятно, если у провайдера не поднято что то типа OSPF, то придуматься общаться с сапортом на предмет дописывания на 192.0.2.57 (шлюз ISP на схеме из первого поста) статического маршрута вида

Код: [Выделить]

Destination     Gateway         Genmask        
192.0.2.60    192.0.2.58      255.255.255.252

в случае если подсеть /30 разбили на две с маской /29

Правда, смотрю, не всегда саппорт идет на контакт

http://www.certification.ru/cgi-bin/forum.cgi?action=thread&id=35831

Ссылка в тему
Настройка "белого" IP-адреса в локальной сети (например, на VoIP-шлюзе)
http://www.ideco-software.ru/help/ics3x/index.html?puplic_ips_routing.htm
правда осталось догадаться, что означают фразы вида "настроить ProxyArp на диапазон адресов 223.123.123.4-223.123.123.6"

Для экономии адресного пространства - Аналог ip unnumbered в Linux системах или экономим IP адреса
http://habrahabr.ru/blogs/personal/71689/

[drako]

Proxy arp - интересное решение, никогда не рыл в эту сторону.
Должно быть как-то так:

Код: [Выделить]

/etc/network/interfaces
iface eth0 inet static
address 192.0.2.58
netmask 255.255.255.248
iface eth1 inet static
address 192.0.2.58
netmask 255.255.255.248
route del -net 192.0.2.56/29 dev eth0
route del -net 192.0.2.56/29 dev eth1
route add -host 192.0.2.57 dev eth0
route add -net 192.0.2.56/29 dev eth1
route add default gw 192.0.2.57
sysctl.conf
net.ipv4.ip_forward=1
net.ipv4.conf.eth0.proxy_arp=1
net.ipv4.conf.eth1.proxy_arp=1
iptables можно настроить с фильтрацией

клиентам достаются адреса 59-62 с маской /29


[Unreg]

drako, шлюз по умолчанию забыли добавить, см. пункт 2a первого поста

[drako]

Подправил. Писал уже почти во сне, надо еще в суть ip unnumbered вникнуть, тоже интересный вариант раздачи малого пула адресов.

[Unreg]

Набросок варианта с pppoe server

Установка необходимого пакета

$ su -c "aptitude update; aptitude install pppoe -y"

Должен существовать /etc/ppp/pppoe-server-options, даже если он будет пустой

$ su -c "nano /etc/ppp/pppoe-server-options"

(Нажмите, чтобы показать/скрыть)

name pppoeserver
# default options: nodetach, noaccomp, nobsdcomp, nodeflate, nopcomp, novj, novjccomp, default-asyncmap
auth
require-chap
ms-dns 8.8.4.4
ms-dns 8.8.8.8
#noipdefault
noipx
#nodefaultroute
#noproxyarp
defaultroute
#replacedefaultroute
netmask 255.255.255.255
persist
proxyarp
logfile /var/log/pppoe-server.log

$ su -c "nano /etc/ppp/chap-secrets"

# Secrets for authentication using CHAP
# client        server          secret                  IP addresses
pc1             pppoeserver     pass1                   192.0.2.59
pc2             pppoeserver     pass2                   192.0.2.60
pc3             pppoeserver     pass3                   192.0.2.61

Настройка сетевых интерфейсов

$ su -c "nano /etc/network/interfaces"

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
#allow-hotplug eth0
#iface eth0 inet dhcp
iface eth0 inet static
address 192.0.2.58
netmask 255.255.255.248
gateway 192.0.2.57

# The second network interface
auto eth1
#allow-hotplug eth1
#iface eth1 inet dhcp
iface eth1 inet manual
post-up sysctl net.ipv4.ip_forward=1
post-up ip link set dev eth1 up
post-up pppoe-server -I eth1 -N 3 -L 192.168.5.62
post-up iptables-restore < /var/pppoefw

Правила для netfilter
$ su -c "nano /var/pppoefw"

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.2 on Wed Dec 22 19:07:04 2010
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Wed Dec 22 19:07:04 2010
# Generated by iptables-save v1.4.2 on Wed Dec 22 19:07:04 2010
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Dec 22 19:07:04 2010
# Generated by iptables-save v1.4.2 on Wed Dec 22 19:07:04 2010
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -i ! lo -m addrtype --src-type LOCAL -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -p icmp -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i ppp+ -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i ppp+ -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ppp+ -m conntrack --ctstate NEW -j ACCEPT
COMMIT
# Completed on Wed Dec 22 19:07:04 2010

Подробнее про pppoe-server: http://vladimir-stupin.blogspot.com/2009/02/pppoe-debian.html

Надо ли прикручивать monit - кто его знает, вроде бы pppoe сервер при такой нагрузке валиться не должен
Хотя без эксплуатации в течение полугода подобной схемы что то утверждать рановато

[hog]

Помогите, пожайлуста, разобраться:

Есть локальная сеть 10 юзеров :
192.168.0.0/28
Настроен роутер на Linux:
eth0  195.138.68.170  смотрит в Интернет (стат ип от прова)
eth1  192.168.0.1       смотрит в локалку

провайдер выделил подсеть:
195.138.88.32/29

Network address         - 195.138.88.32
Gateway                   - 195.138.88.33
Broadcast address       - 195.138.88.39
Usable range            - 195.138.88.33 - 195.138.88.38

Задача стоит раздать белые ипы 5-ти юзерам в сети.
как это делается пошагово без деталей команд?