URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 58913
[ Назад ]

Исходное сообщение
"ipfw+router+3 логических подсети в одной физической сети"
Отправлено Некто , 05-Авг-05 12:20

Доброго времени суток!
Такая проблема: есть компьютер, выполняющий роль гейта. В нём 5 сетевых интерфейсов:
an0 (internet)
ep0 192.168.101.160
ed0 192.168.1.111
ed1 192.168.2.222
ed2 192.168.3.254
1, 2 и 3 подсети используются для раздачи интернета арендаторам (прошу не бить меня за такое решение, просто арендаторы хотят свои подсети и так легче считать траффик).
Все интерфейсы, кроме an0, подключены к одному физическому сегменту сети, т.е., например, с машины с адресом 192.168.3.1 без проблем можно зайти по SSH на 192.168.101.160
при таких правилах такие коннекты разрешены
00070 allow ip from 192.168.101.0/24 to any in recv ep0
00080 allow ip from any to 192.168.101.0/24 out xmit ep0
00090 allow ip from 192.168.1.0/24 to any in recv ed0
00100 allow ip from any to 192.168.1.0/24 out xmit ed0
00110 allow ip from 192.168.2.0/24 to any in recv ed1
00120 allow ip from any to 192.168.2.0/24 out xmit ed1
00130 allow ip from 192.168.3.0/24 to any in recv ed2
00140 allow ip from any to 192.168.3.0/24 out xmit ed2
как мне запретит коннекты из разных подсетей?
пробовал по-разному, но что-то не получилось....

Содержание

ipfw+router+3 логических подсети в одной физической сети,Elbrus, 13:20 , 05-Авг-05
ipfw+router+3 логических подсети в одной физической сети,YuryD, 13:24 , 05-Авг-05
- ipfw+router+3 логических подсети в одной физической сети,Некто, 08:08 , 08-Авг-05
- ipfw+router+3 логических подсети в одной физической сети,Некто, 13:14 , 08-Авг-05

Сообщения в этом обсуждении

"ipfw+router+3 логических подсети в одной физической сети"
Отправлено Elbrus , 05-Авг-05 13:20

хмммм
ну попробуй поменять from any(to any) на from внешний айпишник(to вн. айпишник) инетовский который...
тогда доступ будет разрешен только между подсетью и инетом
но мне кажется там что то по замороченнее у тебя
но попробуй

"ipfw+router+3 логических подсети в одной физической сети"
Отправлено YuryD , 05-Авг-05 13:24

>Все интерфейсы, кроме an0, подключены к одному физическому сегменту сети, т.е., например,
>с машины с адресом 192.168.3.1 без проблем можно зайти по SSH
>на 192.168.101.160
Мдаа, проще повесить все адреса на ep0 алиасами, ed выкинуть
>как мне запретит коннекты из разных подсетей?
>пробовал по-разному, но что-то не получилось....
И не должно, пакет придет через любой интерфейс общего сегмента,
неужели вам не надоели сообщения от arp в логах ?
По поводу запрета - пишите конкретные правила типа
deny ip from 192.168.1.0/24 to 192.168.2.0/24

"ipfw+router+3 логических подсети в одной физической сети"
Отправлено Некто , 08-Авг-05 08:08

> Мдаа, проще повесить все адреса на ep0 алиасами, ed выкинуть
Что-то слышал насчёт этого, но это кажись есть пока только в Линуксе и в новых версиях ФриБСД.
Если я не прав, то подскажи как мне это сделать.
> И не должно, пакет придет через любой интерфейс общего сегмента,
> неужели вам не надоели сообщения от arp в логах ?
Нет, не надоели, привык. :)
> По поводу запрета - пишите конкретные правила типа
> deny ip from 192.168.1.0/24 to 192.168.2.0/24
Спасибо, буду пробовать.

"ipfw+router+3 логических подсети в одной физической сети"
Отправлено Некто , 08-Авг-05 13:14

И будет ли с алиасами работать trafd?