The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Как на базе IPFW развязать 2 сетевых интерфейса"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"Как на базе IPFW развязать 2 сетевых интерфейса"  +/
Сообщение от minimax_07 email(ok) on 01-Июн-11, 10:43 
Добрый день, уважаемые фуромчане! У меня такая задача: строим маршрутизатор на базе FreeBSD, который имеет 2 внешних интерфейса и 1 внутренний. Внешние интерфейсы не должны видеть друг друга, а из подсетей, подключенных к к ним соответственно должен видится только внутренняя подсеть. Так вот вопрос, можно ли создать в IPFW правило, запрещающее передачу ip пакетов от внешнего интерфейса 1 к внешнему интерфейсу 2 и наоборот, не прибегая к применению адресов сетей, т.к. они могут меняться в последствии и дабы не лопатить конфиг обойтись малой кровью. А количество внешних интерфейсов будет значительно больше 2-х. Спасибо.
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Как на базе IPFW развязать 2 сетевых интерфейса"  +/
Сообщение от sherlock email(ok) on 01-Июн-11, 12:04 
> Добрый день, уважаемые фуромчане! У меня такая задача: строим маршрутизатор на базе
> FreeBSD, который имеет 2 внешних интерфейса и 1 внутренний. Внешние интерфейсы
> не должны видеть друг друга, а из подсетей, подключенных к к
> ним соответственно должен видится только внутренняя подсеть. Так вот вопрос, можно
> ли создать в IPFW правило, запрещающее передачу ip пакетов от внешнего
> интерфейса 1 к внешнему интерфейсу 2 и наоборот, не прибегая к
> применению адресов сетей, т.к. они могут меняться в последствии и дабы
> не лопатить конфиг обойтись малой кровью. А количество внешних интерфейсов будет
> значительно больше 2-х. Спасибо.

посмотрите вариант

deny ip from any to any recv via Iface1 xmit via Iface 2

ну либо если не пройдет, то можно по другому, весь входящий через Iface1 трафик помечаете
и на выходе из Iface2 просто дропаете его, типа так:

ipfw add tag 10 pass ip from any to any in via Iface1
ipfw add deny ip from any to any out via Iface2 tagged 10

ну и в обратку так-же, вот только не скажу с ходу в какой версии FreeBSD (ipfw) это появилось.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Как на базе IPFW развязать 2 сетевых интерфейса"  +/
Сообщение от DeadLoco (ok) on 01-Июн-11, 12:21 
> посмотрите вариант
> deny ip from any to any recv via Iface1 xmit via Iface2

deny all from any to any in via $if1 out via $if2
deny all from any to any in via $if2 out via $if1

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру