Megas Опубликовано 23 ноября, 2011 (изменено) · Жалоба Заметил на графиках, пользователи нашли дырку, подозревал что есть, но проверить не было возможности. Свичи, каждый в своём vlan, все vlan сходятся на сервере, все vlan интерфейсы сходятся в один br0, используется одно общее адрессное пространство. На свичах включен traffic segmentation, но судя по графику видно что один из пользователей качал с другого через разные свичи, тем самым юзая что все vlan в бридже. Вопрос простой: как можно запретить им общаться между собой, но дать доступ в интернет? bridge name bridge id STP enabled interfaces br0 8000.001b21afe56d no eth1.1029 eth1.1028 eth1.1027 eth1.1026 eth1.1025 eth1.1024 eth1.1023 eth1.1022 eth1.1021 # Изменено 23 ноября, 2011 пользователем Megas Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vitalyb Опубликовано 23 ноября, 2011 · Жалоба ebtables -A FORWARD --logical-in br0 --logical-out br0 -j DROP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 23 ноября, 2011 · Жалоба Запретить на порту коммутатора воткнутого в сервер=мост прохождение всех маков, кроме мака сервера в строну клиентов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 24 ноября, 2011 · Жалоба Не сунуть все vlan в один bridge. Нахрена они тогда вообще нужны? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
apm Опубликовано 24 ноября, 2011 · Жалоба Не сунуть все vlan в один bridge. Нахрена они тогда вообще нужны? да, очень интересно. цель? мы сделали бридж, помогите как сделать так как будто бриджа нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Megas Опубликовано 24 ноября, 2011 · Жалоба Не сунуть все vlan в один bridge. Нахрена они тогда вообще нужны? ну суть наверное в том чтобы использовать одно адресное пространство для большой сети. свичи 10 портовые, смысл для них нарезать сетки по /28, когда можно просто, первый порт первого свича 1.11, 8-й порт, 1.18, на втором свиче 1.21. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SiXeD Опубликовано 24 ноября, 2011 · Жалоба делаю также но с районов bridge name bridge id STP enabled interfaces sw1 8000.001122334455 yes eth2 eth3 eth4 eth5 eth6 eth7 eth8 eth9 режу их shaper ~ # ebtables -L Bridge chain: FORWARD, entries: 3, policy: ACCEPT -o eth5 -j ACCEPT -i eth5 -j ACCEPT -j DROP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 24 ноября, 2011 · Жалоба ну суть наверное в том чтобы использовать одно адресное пространство для большой сети. У вас сеть не влазит целиком в 10.0.0.0/8 + прочие серые подсети? Кстати, накой ограничивать общение пользователей между собой, объясните? Контроллировать - да, блокировать должников - да, резать для всех - бред ИМХО. Мы наоборот стараемся по возможности закольцевать траффик внутри сети. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Megas Опубликовано 24 ноября, 2011 (изменено) · Жалоба резать для всех - бред ИМХО Разные свичи, петя берет пакет в 4 мегабита, вася берет в 20мегабит. так как они находятся в одном мосту и шейпер стоит не между ними, а за ними, то они могут спокойно общаться между собой вплоть до скорости внутренних каналов. что мешает васе взять пакет в 80 мегабит и через тонель отдать 60мегабит пете? жаль сейчас стенд собрать не на чем чтобы откатать все варианты. Изменено 24 ноября, 2011 пользователем Megas Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 24 ноября, 2011 · Жалоба Что мешает Васе кинуть к Пете витухи и свести задачу к что мешает васе взять пакет в 80 мегабит и через тонель отдать 60мегабит пете? ? Тореншик Вася скачал сериал "моя страшная уборщица" и раздает его. И юзер Гриша будет снова лить все это фуфло с интернета ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 25 ноября, 2011 (изменено) · Жалоба так как они находятся в одном мосту Накой мост, помойку организовывать? что мешает васе взять пакет в 80 мегабит и через тонель отдать 60мегабит пете? Грамотная тарифная политика и прямые руки админа. Как минимум - Пете должно быть невыгодно брать инет (падучий, с тормозами из-за торрентоводов и т.п.) у Васи и + платить вам за мин. пакет. Вторично уже - обнаружение факта перепродажи, борьба с предприимчивыми юзерами "силовыми" методами (что кстати не рекомендую) и т.п. Иначе - как уже говорили, протянут свои кабели и организуют колхоз, не спрашивая вас. Изменено 25 ноября, 2011 пользователем NiTr0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex/AT Опубликовано 26 ноября, 2011 (изменено) · Жалоба А зачем мост? IP на loopback не вариант? Изменено 26 ноября, 2011 пользователем Alex/AT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Megas Опубликовано 26 ноября, 2011 · Жалоба Вариант, и он расматривался с самого начала, но когда дошло до того а как потом прописать роут на целый пучок из 8-и портов чтобы не делать 1000 записей по /32 пришли к тому что пока проще гонять через bridge, а по мере роста и изучения отдельных моментов менять архитектуру. Все равно сейчас все кроме pppoe сервера вращается через один шлюз на centos. Как наберем абон базу более 300чел примерно, то будем докупать пару железок на i7 и уже там молотить и делать все что надо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GFORGX Опубликовано 27 ноября, 2011 · Жалоба Вариант, и он расматривался с самого начала, но когда дошло до того а как потом прописать роут на целый пучок из 8-и портов чтобы не делать 1000 записей по /32 пришли к тому что пока проще гонять через bridge, а по мере роста и изучения отдельных моментов менять архитектуру. Чем проще? У меня до 9к таких /32 между роутерами на линуксе в ядре бегает - никаких проблем, а вы про тысячу какую-то. Плюс можете организовать на линуксе аналог dhcp static routes а-ля Cisco, в принципе, я думаю, минимальными костылями. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...