OpenForum RSS: FreeBSD, VLAN и untagged-пакеты https://m.opennet.dev/openforum/vsluhforumID1/83650.html Доброго дня всем!<br><br>Есть FreeBSD 7.1<br>Делаю:<br>cloned_interfaces="vlan17"<br>ifconfig_vlan17="inet 192.168.17.1 netmask 255.255.255.0 vlan 17 vlandev re0"<br><br>Вопрос:<br>Можно ли заставить интерфейс vlan17 принимать untagged-пакеты(не помеченные), т.е. пакеты, не принадлежащие ни к одному VLAN-у?<br><br>Спасибо.<br> FreeBSD, VLAN и untagged-пакеты (Deac) https://m.opennet.dev/openforum/vsluhforumID1/83650.html#10 Sat, 07 Feb 2009 15:01:24 GMT &gt;[оверквотинг удален]<br>&gt;ifconfig_vlan2="vlan 2 vlandev em2 up" <br>&gt;ifconfig_vlan3="vlan 3 vlandev em2 up" <br>&gt;ifconfig_bridge0="addm vlan3 addm em3 up" <br>&gt;ifconfig_bridge1="addm vlan2 addm em1 up" <br>&gt;ifconfig_em1="up" <br>&gt;ifconfig_em2="up" <br>&gt;ifconfig_em3="up" <br>&gt;<br>&gt;Вопрос - а будет ли работать, если это все в один бридж <br>&gt;засандалить? Не хочется snort два раза запускать. <br><br>Поздравляю!<br>В один бридж НЕЛЬЗЯ, почему - подумай сам.<br>В манах не "сферические" случаи, а наиболее типичные, такие, например, как твой.<br> FreeBSD, VLAN и untagged-пакеты (Gaidamak) https://m.opennet.dev/openforum/vsluhforumID1/83650.html#9 Sat, 07 Feb 2009 14:45:20 GMT По факту заработало так:<br><br>cloned_interfaces="bridge0 bridge1 vlan2 vlan3"<br>ifconfig_vlan2="vlan 2 vlandev em2 up"<br>ifconfig_vlan3="vlan 3 vlandev em2 up"<br>ifconfig_bridge0="addm vlan3 addm em3 up"<br>ifconfig_bridge1="addm vlan2 addm em1 up"<br>ifconfig_em1="up"<br>ifconfig_em2="up"<br>ifconfig_em3="up"<br><br>Вопрос - а будет ли работать, если это все в один бридж засандалить? Не хочется snort два раза запускать.<br> FreeBSD, VLAN и untagged-пакеты (Deac) https://m.opennet.dev/openforum/vsluhforumID1/83650.html#8 Sat, 07 Feb 2009 13:53:03 GMT &gt;&gt;Самое интересное - всё есть в манах! <br>&gt;<br>&gt;Для сферических ситуаций в манах и вправду есть все :) Моя конкретная <br>&gt;от сферической отличается. Два провайдера приходят на два интерфейса. Выйти наружу <br>&gt;они должны через один интерфейс с VLAN-тегами и по пути еще <br>&gt;пролезть через файрвол. Не укладжывается в голове все это пока. <br><br>В приведённом примере всё именно так и происходит.<br>Пакеты от 1-го провайдера приходят на em1, попадают в vlan20 через мост и в тэговом виде выходят через em0.<br>Для 2-го провайдера аналогично через em2 и vlan21 соответственно.<br>Для firewall-а что vlan, что физическая сетевуха - без разницы.<br>Если фильтруешь l2, то в начале нужно добавить:<br>add 0100 allow all from any to any layer2 mac-type vlan via em0<br><br> FreeBSD, VLAN и untagged-пакеты (Gaidamak) https://m.opennet.dev/openforum/vsluhforumID1/83650.html#7 Sat, 07 Feb 2009 07:28:54 GMT Так еще и обратный трафик пропускать таким же макаром надо. И все это без айпишников на интерфейсах.<br> FreeBSD, VLAN и untagged-пакеты (masters) https://m.opennet.dev/openforum/vsluhforumID1/83650.html#6 Fri, 06 Feb 2009 21:40:04 GMT &gt;&gt;Самое интересное - всё есть в манах! <br>&gt;<br>&gt;Для сферических ситуаций в манах и вправду есть все :) Моя конкретная <br>&gt;от сферической отличается. Два провайдера приходят на два интерфейса. Выйти наружу <br>&gt;они должны через один интерфейс с VLAN-тегами и по пути еще <br>&gt;пролезть через файрвол. Не укладжывается в голове все это пока. <br><br>Вообще проблемы не вижу, и зачем бридж?<br><br>2 сетевухи, фильтруешь от них траффик через файрволл.<br>На 3й поднимаешь 2 VLAN'а и форвардами кидаешь траффик из первой сетевухи в 1й VLAN, а из 2й - вот 2й VLAN.<br> FreeBSD, VLAN и untagged-пакеты (Gaidamak) https://m.opennet.dev/openforum/vsluhforumID1/83650.html#5 Fri, 06 Feb 2009 21:22:32 GMT &gt;Самое интересное - всё есть в манах! <br><br>Для сферических ситуаций в манах и вправду есть все :) Моя конкретная от сферической отличается. Два провайдера приходят на два интерфейса. Выйти наружу они должны через один интерфейс с VLAN-тегами и по пути еще пролезть через файрвол. Не укладжывается в голове все это пока.<br> FreeBSD, VLAN и untagged-пакеты (Deac) https://m.opennet.dev/openforum/vsluhforumID1/83650.html#4 Fri, 06 Feb 2009 21:09:20 GMT &gt;Вот еще вопрос - есть 2 провайдера, входящие на FreeBSD в em1 <br>&gt;и em2. Можно ли средствами FreeBSD навесить на входящие пакеты VLAN-теги <br>&gt;(разные для каждого провайдера), засунуть их в if_bridge под файрвол и <br>&gt;выпустить вовнутрь на свитч через em3. Или я совсем уж размечтался? <br>&gt;<br><br>Можно.<br>В мост можно объединить vlan и физическую сетевуху.<br>ifconfig vlan20 plumb<br>ifconfig vlan20 vlan 20 vlandev em0<br>ifconfig vlan21 plumb<br>ifconfig vlan21 vlan 21 vlandev em0<br>sysctl -w net.link.ether.bridge.config=vlan20:20,em1:20,vlan21:21,em2:21<br>Можно и через if_bridge, можно ng_vlan и ng_bridge<br>Самое интересное - всё есть в манах!<br> FreeBSD, VLAN и untagged-пакеты (Gaidamak) https://m.opennet.dev/openforum/vsluhforumID1/83650.html#3 Thu, 05 Feb 2009 12:38:57 GMT Вот еще вопрос - есть 2 провайдера, входящие на FreeBSD в em1 и em2. Можно ли средствами FreeBSD навесить на входящие пакеты VLAN-теги (разные для каждого провайдера), засунуть их в if_bridge под файрвол и выпустить вовнутрь на свитч через em3. Или я совсем уж размечтался?<br> FreeBSD, VLAN и untagged-пакеты (eguru) https://m.opennet.dev/openforum/vsluhforumID1/83650.html#2 Wed, 14 Jan 2009 08:42:22 GMT &gt;[оверквотинг удален]<br>&gt;Есть FreeBSD 7.1 <br>&gt;Делаю: <br>&gt;cloned_interfaces="vlan17" <br>&gt;ifconfig_vlan17="inet 192.168.17.1 netmask 255.255.255.0 vlan 17 vlandev re0" <br>&gt;<br>&gt;Вопрос: <br>&gt;Можно ли заставить интерфейс vlan17 принимать untagged-пакеты(не помеченные), т.е. пакеты, не принадлежащие <br>&gt;ни к одному VLAN-у? <br>&gt;<br>&gt;Спасибо. <br><br>Система принимает Untagged пакеты на parent interface. У тебя это re0.<br>