The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Фильтрация трафика между VLAN"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"Фильтрация трафика между VLAN"  +/
Сообщение от Серж (??) on 14-Ноя-11, 17:36 
Добрый день. Помогите. C FreeBSD толком не работал.
Досталась в наследство схема: несколько VLAN терминируются на маршрутизаторе(FreeBSD) и далее - в Инет

rc.conf
.....
cloned_interfaces="vlan2 vlan3 vlan4"
ifconfig_vlan2="inet 192.168.2.1 netmask 255.255.255.0 vlan 2 vlandev xl0"
ifconfig_vlan3="inet 192.168.3.1 netmask 255.255.255.0 vlan 3 vlandev xl0"
ifconfig_vlan4="inet 192.168.4.1 netmask 255.255.255.0 vlan 4 vlandev xl0"
...

Не устраивает то, что из любой VLAN можно попасть куда угодно. Т. е. на роутере нет фильтрации. А нужно, чтоб c VLAN ходили в Инет, но меж собой связи не было.

Может подскажите. Заранее благодорю

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Фильтрация трафика между VLAN"  +/
Сообщение от Дядя_Федор email on 14-Ноя-11, 19:23 
> Не устраивает то, что из любой VLAN можно попасть куда угодно. Т.
> е. на роутере нет фильтрации. А нужно, чтоб c VLAN ходили
> в Инет, но меж собой связи не было.
> Может подскажите. Заранее благодорю

VLAN и "Интернет" -суть разные "сущности". Вы бы почитали на досуге, что такое VLAN, на каком сетевом уровне они работают (самое главное) и для чего предназначены. А то, что Вы под "связи не было" с легкостью изумительной решается iptables. На третьем уровне (к которому VLAN никакого отношения не имеет). То, что Вы там выше настроили в терминах циско обзывается SVI.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Фильтрация трафика между VLAN"  +/
Сообщение от Дядя_Федор email on 14-Ноя-11, 19:25 
* А то, что Вы ПОДРАЗУМЕВАЕТЕ под ... (исправление).
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Фильтрация трафика между VLAN"  +/
Сообщение от Дядя_Федор email on 14-Ноя-11, 19:27 
Блин - туплю. У Вас же FreeBSD - я почему-то про Линукс думал. Ну, тогда ipfw, pf?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Фильтрация трафика между VLAN"  +/
Сообщение от КуКУ on 15-Ноя-11, 00:38 
Во фрее не знаток, но как я понимаю для Ваших vlan'ов интерфейс xl0 будет default gateway, то есть они друг друга видят по-умолчанию.
С ipfw знаком несильно, но думаю что то в стиле

ipfw add deny from 192.168.2.0/24 to 192.168.3.0/24 via(dev?) xl0
ipfw add deny from 192.168.2.0/24 to 192.168.4.0/24 via(dev?) xl0
ipfw add allow from 192.168.2.0/24 to any via(dev?) xl0

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Фильтрация трафика между VLAN"  +/
Сообщение от Серж (??) on 15-Ноя-11, 09:26 
> Во фрее не знаток, но как я понимаю для Ваших vlan'ов интерфейс
> xl0 будет default gateway, то есть они друг друга видят по-умолчанию.
> С ipfw знаком несильно, но думаю что то в стиле
> ipfw add deny from 192.168.2.0/24 to 192.168.3.0/24 via(dev?) xl0
> ipfw add deny from 192.168.2.0/24 to 192.168.4.0/24 via(dev?) xl0
> ipfw add allow from 192.168.2.0/24 to any via(dev?) xl0

Не так.
Defaul не xl0, а fxp0
xl0 - внутрь смотрит
fxp0 - во внешние сети.

Сответственно для хостов в vlan 2 дефолтный шлюз 192.168.2.1
Сответственно для хостов в vlan 3 дефолтный шлюз 192.168.3.1

и т. д.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Фильтрация трафика между VLAN"  +/
Сообщение от wewe on 15-Ноя-11, 10:02 
>[оверквотинг удален]
>> ipfw add deny from 192.168.2.0/24 to 192.168.3.0/24 via(dev?) xl0
>> ipfw add deny from 192.168.2.0/24 to 192.168.4.0/24 via(dev?) xl0
>> ipfw add allow from 192.168.2.0/24 to any via(dev?) xl0
> Не так.
> Defaul не xl0, а fxp0
> xl0 - внутрь смотрит
> fxp0 - во внешние сети.
> Сответственно для хостов в vlan 2 дефолтный шлюз 192.168.2.1
> Сответственно для хостов в vlan 3 дефолтный шлюз 192.168.3.1
> и т. д.

ipfw add deny log ip from 192.168.0.0/16 to 192.168.0.0/16 via any

(ipfw add deny log ip from 192.168.0.0/16 to 192.168.0.0/16 via vlan\*)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Фильтрация трафика между VLAN"  +/
Сообщение от Серж (??) on 15-Ноя-11, 15:42 

> ipfw add deny log ip from 192.168.0.0/16 to 192.168.0.0/16 via vlan\*

Пожоже на правду. Спасибо.


Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
MIRhosting
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру