Если внешний интерфейс - это два vlan, то какие подводные камни могут быть?

[a_eugene]

Подскажите плиз,

если у меня на внешнем интерфейсе виланы на мир и Украину (настроен BGP4), то какие особенности могут быть в фареволе и может быть еще в чем-то?

[elite]

Подскажите плиз,

если у меня на внешнем интерфейсе виланы на мир и Украину (настроен BGP4), то какие особенности могут быть в фареволе и может быть еще в чем-то?

и что тут такого?
в фаерволе добавляешь правила по аналогии с первым интерфейсом - вот и все

[a_eugene]

Т.е. если у меня интерфейс igb1 и на нем нет айпишника, но на нем тегированнве виланы vlan1 c  ipaddr_1 и vlan2 c ipaddr_2, то как будет выглядеть rc.firewall ? У кого-то есть рабочий пример? И что надо добавить в pf.conf? И не надо ли что-то добавлять в ipcad.conf?

[elite]

Т.е. если у меня интерфейс igb1 и на нем нет айпишника, но на нем тегированнве виланы vlan1 c  ipaddr_1 и vlan2 c ipaddr_2, то как будет выглядеть rc.firewall ? У кого-то есть рабочий пример? И что надо добавить в pf.conf? И не надо ли что-то добавлять в ipcad.conf?

в rc.firewall должны быть интерфейсы vlan0 и vlan1 указаны в качестве внешних
pf лучше выкинуть нафиг )
ipcad, видимо, тоже )

[a_eugene]

А если не выбрасывать pf?
то надо не
nat pass on igb1 from 10.0.0.0/8 to any -> igb1
а так
nat pass on vlan1 from 10.0.0.0/8 to any -> vlan1
nat pass on vlan2 from 10.0.0.0/8 to any -> vlan2
правильно?

а в rc.firewall добавить
ifOut1='vlan1'
ifOut2='vlan2'
${f} add 200 skipto 500 ip from any to any via ${ifOut1}
${f} add 200 skipto 500 ip from any to any via ${ifOut2}
и т.д.?

[elite]

А если не выбрасывать pf?
то надо не
nat pass on igb1 from 10.0.0.0/8 to any -> igb1
а так
nat pass on vlan1 from 10.0.0.0/8 to any -> vlan1
nat pass on vlan2 from 10.0.0.0/8 to any -> vlan2
правильно?

а в rc.firewall добавить
ifOut1='vlan1'
ifOut2='vlan2'
${f} add 200 skipto 500 ip from any to any via ${ifOut1}
${f} add 200 skipto 500 ip from any to any via ${ifOut2}
и т.д.?

будет работать

p.s. выкинуть pf, использовать ipfw_nat

[a_eugene]

только вроде бы ошибочка - 200 и 201

ifOut1='vlan1'
ifOut2='vlan2'
${f} add 200 skipto 500 ip from any to any via ${ifOut1}
${f} add 201 skipto 500 ip from any to any via ${ifOut2}

[elite]

только вроде бы ошибочка - 200 и 201

ifOut1='vlan1'
ifOut2='vlan2'
${f} add 200 skipto 500 ip from any to any via ${ifOut1}
${f} add 201 skipto 500 ip from any to any via ${ifOut2}

не суть важно

[a_eugene]

Если запрос ушел через украину, а вернулся через мир, то пакеты будут теряться.

А можно натить через lo0 как-то?
написать что-то типа
nat pass on lo0 from 10.0.0.0/8 to any -> lo0
в таком случае сработает нат, а потом маршрутизация BGP4?
Ведь Google, например, может принять запрос через украину, а ответить через мир....

Или я устал сегодня и пишу бред?

[VitalVas]

пишеш бред 

[goletsa]

Не знаю, у меня сделано проще. Стоит один пограничный роутер в который входит несколько виланов + поднят BGP. А он уже отправляет все на остальные сервера. Проще всего агрегировать все на отдельной машине а с нее раздавать уже внутрь сети.

[elite]

Если запрос ушел через украину, а вернулся через мир, то пакеты будут теряться.

пакеты не будут теряться...