Добрый день. Помогите. C FreeBSD толком не работал.
Досталась в наследство схема: несколько VLAN терминируются на маршрутизаторе(FreeBSD) и далее - в Инет

rc.conf
.....
cloned_interfaces="vlan2 vlan3 vlan4"
ifconfig_vlan2="inet 192.168.2.1 netmask 255.255.255.0 vlan 2 vlandev xl0"
ifconfig_vlan3="inet 192.168.3.1 netmask 255.255.255.0 vlan 3 vlandev xl0"
ifconfig_vlan4="inet 192.168.4.1 netmask 255.255.255.0 vlan 4 vlandev xl0"
...

Не устраивает то, что из любой VLAN можно попасть куда угодно. Т. е. на роутере нет фильтрации. А нужно, чтоб c VLAN ходили в Инет, но меж собой связи не было.

Может подскажите. Заранее благодорю

• Фильтрация трафика между VLAN,Дядя_Федор, 19:23 , 14-Ноя-11
  • Фильтрация трафика между VLAN,Дядя_Федор, 19:25 , 14-Ноя-11
    • Фильтрация трафика между VLAN,Дядя_Федор, 19:27 , 14-Ноя-11
• Фильтрация трафика между VLAN,КуКУ, 00:38 , 15-Ноя-11
  • Фильтрация трафика между VLAN,Серж, 09:26 , 15-Ноя-11
    • Фильтрация трафика между VLAN,wewe, 10:02 , 15-Ноя-11
      • Фильтрация трафика между VLAN,Серж, 15:42 , 15-Ноя-11

> Не устраивает то, что из любой VLAN можно попасть куда угодно. Т.
> е. на роутере нет фильтрации. А нужно, чтоб c VLAN ходили
> в Инет, но меж собой связи не было.
> Может подскажите. Заранее благодорю

VLAN и "Интернет" -суть разные "сущности". Вы бы почитали на досуге, что такое VLAN, на каком сетевом уровне они работают (самое главное) и для чего предназначены. А то, что Вы под "связи не было" с легкостью изумительной решается iptables. На третьем уровне (к которому VLAN никакого отношения не имеет). То, что Вы там выше настроили в терминах циско обзывается SVI.

* А то, что Вы ПОДРАЗУМЕВАЕТЕ под ... (исправление).

Блин - туплю. У Вас же FreeBSD - я почему-то про Линукс думал. Ну, тогда ipfw, pf?

Во фрее не знаток, но как я понимаю для Ваших vlan'ов интерфейс xl0 будет default gateway, то есть они друг друга видят по-умолчанию.
С ipfw знаком несильно, но думаю что то в стиле

ipfw add deny from 192.168.2.0/24 to 192.168.3.0/24 via(dev?) xl0
ipfw add deny from 192.168.2.0/24 to 192.168.4.0/24 via(dev?) xl0
ipfw add allow from 192.168.2.0/24 to any via(dev?) xl0

> Во фрее не знаток, но как я понимаю для Ваших vlan'ов интерфейс
> xl0 будет default gateway, то есть они друг друга видят по-умолчанию.
> С ipfw знаком несильно, но думаю что то в стиле
> ipfw add deny from 192.168.2.0/24 to 192.168.3.0/24 via(dev?) xl0
> ipfw add deny from 192.168.2.0/24 to 192.168.4.0/24 via(dev?) xl0
> ipfw add allow from 192.168.2.0/24 to any via(dev?) xl0

Не так.
Defaul не xl0, а fxp0
xl0 - внутрь смотрит
fxp0 - во внешние сети.

Сответственно для хостов в vlan 2 дефолтный шлюз 192.168.2.1
Сответственно для хостов в vlan 3 дефолтный шлюз 192.168.3.1

и т. д.

>[оверквотинг удален]
>> ipfw add deny from 192.168.2.0/24 to 192.168.3.0/24 via(dev?) xl0
>> ipfw add deny from 192.168.2.0/24 to 192.168.4.0/24 via(dev?) xl0
>> ipfw add allow from 192.168.2.0/24 to any via(dev?) xl0
> Не так.
> Defaul не xl0, а fxp0
> xl0 - внутрь смотрит
> fxp0 - во внешние сети.
> Сответственно для хостов в vlan 2 дефолтный шлюз 192.168.2.1
> Сответственно для хостов в vlan 3 дефолтный шлюз 192.168.3.1
> и т. д.

ipfw add deny log ip from 192.168.0.0/16 to 192.168.0.0/16 via any

(ipfw add deny log ip from 192.168.0.0/16 to 192.168.0.0/16 via vlan\*)

> ipfw add deny log ip from 192.168.0.0/16 to 192.168.0.0/16 via vlan\*

Пожоже на правду. Спасибо.