Alexzzz Posted October 11, 2016 · Report post Добрый день. Есть сервер c vyos, на котором организован L2TP/IPsec сервер. Соответственно, при подключении клиентов поднимается отдельный l2tp-интерфейс на каждого. Вопрос заключается в следующем - нужно фильтровать трафик таким образом, чтобы клиенты получали только интернет с eth0. Была создана зона с именем l2tp, в которую интерфейсы добавляются сразу после появления и удаляются после отключения. Таким образом получается фильтровать трафик между этой зоной и любой другой, но каким образом мне фильтровать трафик внутри зоны, чтобы клиенты не могли "видеть" друг друга? Можно было бы просто повесить правило фаервола, или policy-routing, где проверяется dst и src адреса и трафик дропается и добавлять правила динамически для каждого интерфейса, как происходит добавление его в зону, но ведь в разделе set interface нет l2tp-интерфейсов. :( Может быть кто-то сталкивался с подобной проблемой? Или может кто-то видит где я не доглядел возможностей vyos? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Alexzzz Posted October 15, 2016 · Report post UP. Неужели средствами VyOS никак нельзя это реализовать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NiTr0 Posted October 15, 2016 · Report post в iptables - как-то так: -A FORWARD -i eth0 -j ACCEPT -A FORWARD -o eth0 -j ACCEPT -A FORWARD -j REJECT как в vyos это в ее обертке прописать - хз, не интересовался нею как-то. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Alexzzz Posted October 17, 2016 (edited) · Report post в iptables - как-то так: -A FORWARD -i eth0 -j ACCEPT -A FORWARD -o eth0 -j ACCEPT -A FORWARD -j REJECT как в vyos это в ее обертке прописать - хз, не интересовался нею как-то. Спасибо, но вот в том-то и проблема, что с iptables всё понятно: "iptables -A FORWARD -i $PPP_IFACE -o $PPP_IFACE -j DROP" в /etc/ppp/ip-up.d и задача решается, но это нарушает целостность конфигов в vyos. Может кто-то знает другой вариант? Edited October 17, 2016 by Alexzzz Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...