|
Название: Если внешний интерфейс - это два vlan, то какие подводные камни могут быть? Отправлено: a_eugene от 18 Февраля 2010, 20:34:58 Подскажите плиз,
если у меня на внешнем интерфейсе виланы на мир и Украину (настроен BGP4), то какие особенности могут быть в фареволе и может быть еще в чем-то? Название: Re: Если внешний интерфейс - это два vlan, то какие подводные камни могут быть? Отправлено: elite от 18 Февраля 2010, 22:30:37 Подскажите плиз, и что тут такого?если у меня на внешнем интерфейсе виланы на мир и Украину (настроен BGP4), то какие особенности могут быть в фареволе и может быть еще в чем-то? в фаерволе добавляешь правила по аналогии с первым интерфейсом - вот и все Название: Re: Если внешний интерфейс - это два vlan, то какие подводные камни могут быть? Отправлено: a_eugene от 18 Февраля 2010, 23:16:00 Т.е. если у меня интерфейс igb1 и на нем нет айпишника, но на нем тегированнве виланы vlan1 c ipaddr_1 и vlan2 c ipaddr_2, то как будет выглядеть rc.firewall ? У кого-то есть рабочий пример? И что надо добавить в pf.conf? И не надо ли что-то добавлять в ipcad.conf?
Название: Re: Если внешний интерфейс - это два vlan, то какие подводные камни могут быть? Отправлено: elite от 18 Февраля 2010, 23:59:39 Т.е. если у меня интерфейс igb1 и на нем нет айпишника, но на нем тегированнве виланы vlan1 c ipaddr_1 и vlan2 c ipaddr_2, то как будет выглядеть rc.firewall ? У кого-то есть рабочий пример? И что надо добавить в pf.conf? И не надо ли что-то добавлять в ipcad.conf? в rc.firewall должны быть интерфейсы vlan0 и vlan1 указаны в качестве внешнихpf лучше выкинуть нафиг ) ipcad, видимо, тоже ) Название: Re: Если внешний интерфейс - это два vlan, то какие подводные камни могут быть? Отправлено: a_eugene от 19 Февраля 2010, 00:21:39 А если не выбрасывать pf?
то надо не nat pass on igb1 from 10.0.0.0/8 to any -> igb1 а так nat pass on vlan1 from 10.0.0.0/8 to any -> vlan1 nat pass on vlan2 from 10.0.0.0/8 to any -> vlan2 правильно? а в rc.firewall добавить ifOut1='vlan1' ifOut2='vlan2' ${f} add 200 skipto 500 ip from any to any via ${ifOut1} ${f} add 200 skipto 500 ip from any to any via ${ifOut2} и т.д.? Название: Re: Если внешний интерфейс - это два vlan, то какие подводные камни могут быть? Отправлено: elite от 19 Февраля 2010, 10:08:25 А если не выбрасывать pf? будет работатьто надо не nat pass on igb1 from 10.0.0.0/8 to any -> igb1 а так nat pass on vlan1 from 10.0.0.0/8 to any -> vlan1 nat pass on vlan2 from 10.0.0.0/8 to any -> vlan2 правильно? а в rc.firewall добавить ifOut1='vlan1' ifOut2='vlan2' ${f} add 200 skipto 500 ip from any to any via ${ifOut1} ${f} add 200 skipto 500 ip from any to any via ${ifOut2} и т.д.? p.s. выкинуть pf, использовать ipfw_nat Название: Re: Если внешний интерфейс - это два vlan, то какие подводные камни могут быть? Отправлено: a_eugene от 19 Февраля 2010, 11:26:06 только вроде бы ошибочка - 200 и 201
ifOut1='vlan1' ifOut2='vlan2' ${f} add 200 skipto 500 ip from any to any via ${ifOut1} ${f} add 201 skipto 500 ip from any to any via ${ifOut2} Название: Re: Если внешний интерфейс - это два vlan, то какие подводные камни могут быть? Отправлено: elite от 19 Февраля 2010, 15:12:04 только вроде бы ошибочка - 200 и 201 не суть важноifOut1='vlan1' ifOut2='vlan2' ${f} add 200 skipto 500 ip from any to any via ${ifOut1} ${f} add 201 skipto 500 ip from any to any via ${ifOut2} Название: Re: Если внешний интерфейс - это два vlan, то какие подводные камни могут быть? Отправлено: a_eugene от 11 Марта 2010, 22:20:17 Если запрос ушел через украину, а вернулся через мир, то пакеты будут теряться.
А можно натить через lo0 как-то? написать что-то типа nat pass on lo0 from 10.0.0.0/8 to any -> lo0 в таком случае сработает нат, а потом маршрутизация BGP4? Ведь Google, например, может принять запрос через украину, а ответить через мир.... Или я устал сегодня и пишу бред? Название: Re: Если внешний интерфейс - это два vlan, то какие подводные камни могут быть? Отправлено: VitalVas от 11 Марта 2010, 22:32:14 пишеш бред ;D
Название: Re: Если внешний интерфейс - это два vlan, то какие подводные камни могут быть? Отправлено: goletsa от 11 Марта 2010, 22:32:27 Не знаю, у меня сделано проще. Стоит один пограничный роутер в который входит несколько виланов + поднят BGP. А он уже отправляет все на остальные сервера. Проще всего агрегировать все на отдельной машине а с нее раздавать уже внутрь сети.
Название: Re: Если внешний интерфейс - это два vlan, то какие подводные камни могут быть? Отправлено: elite от 13 Марта 2010, 09:44:30 Если запрос ушел через украину, а вернулся через мир, то пакеты будут теряться. пакеты не будут теряться... |