[Alexzzz]

Добрый день.

 

Есть сервер c vyos, на котором организован L2TP/IPsec сервер. Соответственно, при подключении клиентов поднимается отдельный l2tp-интерфейс на каждого.

Вопрос заключается в следующем - нужно фильтровать трафик таким образом, чтобы клиенты получали только интернет с eth0.

Была создана зона с именем l2tp, в которую интерфейсы добавляются сразу после появления и удаляются после отключения.

Таким образом получается фильтровать трафик между этой зоной и любой другой, но каким образом мне фильтровать трафик внутри зоны, чтобы клиенты не могли "видеть" друг друга?

Можно было бы просто повесить правило фаервола, или policy-routing, где проверяется dst и src адреса и трафик дропается и добавлять правила динамически для каждого интерфейса, как происходит добавление его в зону, но ведь в разделе set interface нет l2tp-интерфейсов. :(

 

Может быть кто-то сталкивался с подобной проблемой?

Или может кто-то видит где я не доглядел возможностей vyos?

[Alexzzz]

UP.

 

Неужели средствами VyOS никак нельзя это реализовать?

[NiTr0]

в iptables - как-то так:

-A FORWARD -i eth0 -j ACCEPT

-A FORWARD -o eth0 -j ACCEPT

-A FORWARD -j REJECT

 

как в vyos это в ее обертке прописать - хз, не интересовался нею как-то.

[Alexzzz]

в iptables - как-то так:

-A FORWARD -i eth0 -j ACCEPT

-A FORWARD -o eth0 -j ACCEPT

-A FORWARD -j REJECT

 

как в vyos это в ее обертке прописать - хз, не интересовался нею как-то.

Спасибо, но вот в том-то и проблема, что с iptables всё понятно: "iptables -A FORWARD -i $PPP_IFACE -o $PPP_IFACE -j DROP" в /etc/ppp/ip-up.d и задача решается, но это нарушает целостность конфигов в vyos. Может кто-то знает другой вариант?

Изменено 17 октября, 2016 пользователем Alexzzz