Forst Опубликовано 6 ноября, 2007 · Жалоба Здравствуйте! Есть несколько vlan'ов. Необходимо чтобы все кроме VLAN2 невидели пользователей из других вЛанов, а пользователи из VLAN2 могли бы видеть всех. vlan разгребаются на шлюзе (FreeBSD) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
skor78 Опубликовано 6 ноября, 2007 · Жалоба Разные вланы - соответственно разные сети? Если да, то маршрутизация + ipfw? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Forst Опубликовано 6 ноября, 2007 · Жалоба Да все вЛаны, это разные подсети. Шлюз их пробрасывает в и-нет. Проблема как раз в том, что они между собой маршрутизируются замечательно :-) если я в ipfw их deny, тогда естественно и из vlan2 их невозможно увидить... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
skor78 Опубликовано 6 ноября, 2007 · Жалоба Ну если "в лоб" то ipfw add allow ip from ipvlan1/24 to ipvlan2/24 ipfw add allow ip from ipvlan2/24 to ipvlan2/24 ipfw add allow ip from ipvlan3/24 to ipvlan2/24 ... ipfw add allow ip from ipvlan2/24 to ipvlan10/24 ipfw add deny ip from any to any Можно ipfw add allow ip from any to any recv vlan2 xmit vlan1 ipfw add allow ip from any to any recv vlan1 xmit vlan2 ipfw add allow ip from any to any recv vlan2 xmit vlan3 ... ipfw add allow ip from any to any recv vlan 10 xmit vlan2 ipfw add deny ip from any to any man ipfw :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
desperado Опубликовано 6 ноября, 2007 · Жалоба Здравствуйте!Есть несколько vlan'ов. Необходимо чтобы все кроме VLAN2 невидели пользователей из других вЛанов, а пользователи из VLAN2 могли бы видеть всех. vlan разгребаются на шлюзе (FreeBSD) слово "видеть" все таки не такое многозначное, как всем известное слово из 3-х букв, но понимать его можно по разному, и в зависимости от его значения в данном случае, способы решения могут меняться. в первую очередь на ум приходит НАТ, потом, фильтрация запросов на установку соединения.... и т.д. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Forst Опубликовано 7 ноября, 2007 · Жалоба Ну если "в лоб" то... man ipfw :) Спасибо :-) Буду штудировать :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 7 ноября, 2007 · Жалоба Штудируйте. Особенно в части stateful inspection. Аналогичная часть мана pf тоже полезна к прочтению, бо принцип работы одинаков. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Hitori Опубликовано 28 февраля, 2008 · Жалоба Добрый день. Подниму свою проблему в этой теме, чтоб не создавать новую. Система FreeBSD 6.3 с 2-мя сетевыми карточками: re0, смотрящая наружу и em0, смотрящая во внутреннюю сеть + nat. На em0 для каждого клиента поднят VLAN вида 10.0.1.0/24, 10.0.2.0/24 и т.д. В интернет всех пускает, но не получается настроить систему так, чтобы клиенты могли ходить друг к дружке. Чувствую, что что-то упустил, не могу понять что именно :/ rc.conf cloned_interfaces="vlan31 vlan32" ifconfig_re0="inet 192.168.0.221 netmask 255.255.255.0" ifconfig_em0="inet 10.254.254.254 netmask 255.255.255.255" ifconfig_vlan31="inet 10.0.1.1 netmask 255.255.255.0 vlan 31 vlandev em0" ifconfig_vlan32="inet 10.0.2.1 netmask 255.255.255.0 vlan 32 vlandev em0" router_flags="-q" router="/sbin/routed" router_enable="YES" gateway_enable="YES" defaultrouter="192.168.0.45" # NAT natd_enable="YES" natd_interface="re0" natd_flags="-m -u" # Firewall firewall_enable="YES" firewall_logging="YES" rc.firewall #!/bin/sh fwcmd="/sbin/ipfw -q" skip="skipto 4995" ${fwcmd} -f flush ${fwcmd} add 002 allow all from any to any via lo0 ${fwcmd} add 050 divert natd ip from 10.0.0.0/8 to any out via re0 ${fwcmd} add 055 divert natd ip from any to 192.168.0.221 ${fwcmd} add 070 allow all from me to any out via re0 ${fwcmd} add 120 deny all from any to any via em0 ${fwcmd} add 200 $skip all from 10.0.1.0/24 to any via vlan31 ${fwcmd} add 210 $skip all from any to 10.0.1.0/24 via vlan31 ${fwcmd} add 220 $skip all from 10.0.2.0/24 to any via vlan32 ${fwcmd} add 230 $skip all from any to 10.0.2.0/24 via vlan32 ${fwcmd} add 4990 $skip all from any to 10.0.0.0/8 in via re0 ${fwcmd} add 4991 allow icmp from any to any ${fwcmd} add 4992 allow udp from any 123,53 to me in via re0 ${fwcmd} add 4994 deny all from any to any ${fwcmd} add 5000 allow all from any to any netstat -rn Routing tables Internet: Destination Gateway Flags Refs Use Netif Expire default 192.168.0.45 UGS 0 3164 re0 10.0.1/24 link#7 UC 0 0 vlan31 10.0.2/24 link#8 UC 0 0 vlan32 10.254.254.254/32 link#3 UC 0 0 em0 127.0.0.1 127.0.0.1 UH 0 24506 lo0 192.168.0 link#1 UC 0 0 re0 192.168.0.45 link#1 UHLW 2 2 re0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...