URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 5583
[ Назад ]
Исходное сообщение
"Два вопроса по VLAN+IPFW"
Отправлено reticon , 22-Июн-04 05:53 
1. Если в сети используется NAT, что нужно прописать на файрволе чтобы все VLAN'ы ходили в инет?

Т.е., например, при

ifconfig vlan2 inet 192.168.2.1 netmask 255.255.255.0 vlan 2 vlandev rl0 up
...

ifconfig vlan10 inet 192.168.10.1 netmask 255.255.255.0 vlan 10 vlandev rl0 up

если в rc.firewall прописать просто

${ipfw} add divert natd all from any to any out via ${ifout}

то не работает...

Как правильно?

2. Как сделать так, чтобы клиенты отдельных VLAN не видели друг-друга?
Сейчас, например, из VLAN5 (192.168.5.x) можно пинговать клиентов VLAN8 (192.168.8.X).

Содержание
Сообщения в этом обсуждении
"Два вопроса по VLAN+IPFW"
Отправлено A Clockwork Orange , 22-Июн-04 15:44 
если запустить natd -v что показывает?
"Два вопроса по VLAN+IPFW"
Отправлено reticon , 22-Июн-04 17:49 
>если запустить natd -v что показывает?

# natd -v
aliasing address not given


в rc.conf

natd_enable="YES"
natd_interface="em0"
natd_flags=""

"Два вопроса по VLAN+IPFW"
Отправлено A Clockwork Orange , 22-Июн-04 17:51 
Не ну ты запусти полностью только с -v
natd -i <if> -v
и пингани с хоста какого нибудь из Vlan
"Два вопроса по VLAN+IPFW"
Отправлено reticon , 22-Июн-04 18:15 
>Не ну ты запусти полностью только с -v
>natd -i <if> -v
>и пингани с хоста какого нибудь из Vlan

хорошо, сейчас пойду попробую...

A Clockwork Orange, у тебя ася есть?

"Два вопроса по VLAN+IPFW"
Отправлено Andrey Y. Ostanovsky , 22-Июн-04 18:36 
>1. Если в сети используется NAT, что нужно прописать на файрволе чтобы
>все VLAN'ы ходили в инет?
> ${ipfw} add divert natd all from any to any out via ${ifout}
>то не работает...

Значит пакеты вылетают из ipfw по предыдущему разрешающему правилу, не попадая в диверт. Менять метоположение правила.

>2. Как сделать так, чтобы клиенты отдельных VLAN не видели друг-друга?
>Сейчас, например, из VLAN5 (192.168.5.x) можно пинговать клиентов VLAN8 (192.168.8.X).

Ну, например так:
# ipfw list|grep vlan
deny ip from any to any in via vlan0 out via vlan1
deny ip from any to any in via vlan1 out via vlan0


"Два вопроса по VLAN+IPFW"
Отправлено Иван , 22-Июн-04 18:50 
>Т.е., например, при
> ${ipfw} add divert natd all from any to any out via
>${ifout}

a демон куда заворачиваешь нужно ведь включать - natd -a {ifout}
>2. Как сделать так, чтобы клиенты отдельных VLAN не видели друг-друга?
>Сейчас, например, из VLAN5 (192.168.5.x) можно пинговать клиентов VLAN8 (192.168.8.X).
${ipfw} add deny all from  192.168.5.x to any via VLAN8
...
??
по умолчанию у тебя они и должны видеть друг-друга, у тебя ведь роутер, а вланы они на втором уровне убирают видимость.

"Два вопроса по VLAN+IPFW"
Отправлено reticon , 22-Июн-04 21:21 
>>Т.е., например, при
>> ${ipfw} add divert natd all from any to any out via
>>${ifout}
>
>a демон куда заворачиваешь нужно ведь включать - natd -a {ifout}
>>2. Как сделать так, чтобы клиенты отдельных VLAN не видели друг-друга?
>>Сейчас, например, из VLAN5 (192.168.5.x) можно пинговать клиентов VLAN8 (192.168.8.X).
>${ipfw} add deny all from  192.168.5.x to any via VLAN8
>...
>??
>по умолчанию у тебя они и должны видеть друг-друга, у тебя ведь
>роутер, а вланы они на втором уровне убирают видимость.

вот начало rc.firewall

${fwcmd} add pass all from any to any via lo0
${fwcmd} add pass all from any to any via rl0
${fwcmd} add pass all from any to any via rl1

${fwcmd} add divert natd all from 192.168.0.0/24 to any out via em0
${fwcmd} add divert natd all from 192.168.1.0/24 to any out via em0
${fwcmd} add divert natd all from any to 217.106.213.200 in via em0

причем NAT для сети 192.168.0.0/24 работает как положено, т.к. не используютсся VLAN. А для сети 192.168.1.0/24 (там нарезаны VLAN) не работает :(


"Два вопроса по VLAN+IPFW"
Отправлено A Clockwork Orange , 23-Июн-04 08:44 
у тебя на em висит сеть без Vlan и с Vlan?
"Два вопроса по VLAN+IPFW"
Отправлено A Clockwork Orange , 23-Июн-04 08:59 
ps -ax
ifconfig -a
ipfw show
"Два вопроса по VLAN+IPFW"
Отправлено reticon , 23-Июн-04 11:51 
>ps -ax
>ifconfig -a
>ipfw show

em0 смотрит наружу.
rl0 и rl1 - внутрь.


#ps -ax | grep natd

PID   TT   STAT   TIME     COMMAND
217   ??   Ss     1:33.76  /sbin/natd -n em0


#ifconfig -a

em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
       options=3<rxcsum,txcsum>
       inet 217.106.x.x netmask 0xfffffffc broadcast 217.106.x.x
       ether 00:04:23:a8:04:ea
       media: Ethernet 100baseTX <full-duplex>
       status: active
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
       inet 192.168.100.1 netmask 0xffffff00 broadcast 192.168.100.255
       ether 00:50:22:e1:96:4b
       media: Ethernet autoselect (100baseTX)
       status: active
rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
       inet 192.168.200.1 netmask 0xffffff00 broadcast 192.168.200.255
       ether 00:04:23:e1:82:f9
       media: Ethernet autoselect (100baseTX)
       status: active
vlan2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1496
       inet 192.168.2.1 netmask 0xffffff00 broadcast 192.168.2.255
       ether 00:04:23:e1:82:f9
       media: Ethernet autoselect (100baseTX <full-duplex>)
       status: active
       vlan: 2 parent interface: rl1
...
<skipped>
...
vlan9: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1496
       inet 192.168.9.1 netmask 0xffffff00 broadcast 192.168.9.255
       ether 00:04:23:e1:82:f9
       media: Ethernet autoselect (100baseTX <full-duplex>)
       status: active
       vlan: 9 parent interface: rl1


#ipfw show

00100  252  25102  allow ip from any to any via lo0
00200  5875 619511 allow ip from any to any via rl0
00300  44   3228   allow ip from any to any via rl1
00400  123  16496  allow icmp from any to any
00500  4779 393237 divert 8668 ip from 192.168.100.0/24 to any out xmit via em0
00600  0    0      divert 8668 ip from 192.168.200.0/24 to any out xmit via em0
00700  1085 296067 divert 8668 ip from any to 217.106.x.x in recv em0
00800  65   5806   allow udp from any to any 53
00900  65   10250  allow udp from any 53 to any
01000  39   4678   deny ip from any to any


"Два вопроса по VLAN+IPFW"
Отправлено A Clockwork Orange , 23-Июн-04 12:40 
>>ps -ax
>>ifconfig -a
>>ipfw show
>
>em0 смотрит наружу.
>rl0 и rl1 - внутрь.
>
>
>#ps -ax | grep natd
>
>PID   TT   STAT   TIME  
>  COMMAND
>217   ??   Ss     1:33.76
> /sbin/natd -n em0
>
>
>#ifconfig -a
>
>em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
>       options=3<rxcsum,txcsum>
>       inet 217.106.x.x netmask 0xfffffffc broadcast
>217.106.x.x
>       ether 00:04:23:a8:04:ea
>       media: Ethernet 100baseTX <full-duplex>
>       status: active
>rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
>       inet 192.168.100.1 netmask 0xffffff00 broadcast
>192.168.100.255
>       ether 00:50:22:e1:96:4b
>       media: Ethernet autoselect (100baseTX)
>       status: active
>rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
>       inet 192.168.200.1 netmask 0xffffff00 broadcast
>192.168.200.255
>       ether 00:04:23:e1:82:f9
>       media: Ethernet autoselect (100baseTX)
>       status: active
>vlan2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1496
>       inet 192.168.2.1 netmask 0xffffff00 broadcast
>192.168.2.255
>       ether 00:04:23:e1:82:f9
>       media: Ethernet autoselect (100baseTX <full-duplex>)
>       status: active
>       vlan: 2 parent interface: rl1
>
>...
><skipped>
>...
>vlan9: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1496
>       inet 192.168.9.1 netmask 0xffffff00 broadcast
>192.168.9.255
>       ether 00:04:23:e1:82:f9
>       media: Ethernet autoselect (100baseTX <full-duplex>)
>       status: active
>       vlan: 9 parent interface: rl1
>
>
>
>#ipfw show
>
>00100  252  25102  allow ip from any to any
>via lo0
>00200  5875 619511 allow ip from any to any via rl0
>
>00300  44   3228   allow ip from any
>to any via rl1
>00400  123  16496  allow icmp from any to any
>
>00500  4779 393237 divert 8668 ip from 192.168.100.0/24 to any out
>xmit via em0
>00600  0    0      
>divert 8668 ip from 192.168.200.0/24 to any out xmit via em0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Почему не vlan сети
192.168.1.0/16
192.168.2.0/16
..............
192.168.9.0/16


>
>00700  1085 296067 divert 8668 ip from any to 217.106.x.x in
>recv em0
>00800  65   5806   allow udp from any
>to any 53
>00900  65   10250  allow udp from any 53
>to any
>01000  39   4678   deny ip from any
>to any


"Два вопроса по VLAN+IPFW"
Отправлено A Clockwork Orange , 23-Июн-04 12:43 
aclockworkorange@operamail.com
"Два вопроса по VLAN+IPFW"
Отправлено reticon , 23-Июн-04 13:38 
>Почему не vlan сети
>192.168.1.0/16
>192.168.2.0/16
>..............
>192.168.9.0/16
>
>
делал я и так но почему-то было ощущение, что ничего не работало...

А почему у тебя маска /16 ? Нахрена так много, или это принципиально?

"Два вопроса по VLAN+IPFW"
Отправлено A Clockwork Orange , 23-Июн-04 14:12 
Пардон тут я нашалил, маска /24.
Измени в правилах и покажи все же natd -i em0 -v
"Два вопроса по VLAN+IPFW"
Отправлено A Clockwork Orange , 23-Июн-04 14:50 
Еще попробуй добавить
${fwcmd} add pass all from any to any via vlan*

или из командной строки
ipfw add 1 pass all from any to any via vlan\*

"Два вопроса по VLAN+IPFW"
Отправлено reticon , 23-Июн-04 15:05 
>Пардон тут я нашалил, маска /24.
>Измени в правилах и покажи все же natd -i em0 -v

сделал, вот что кажет:

#natd -i em0 -v
natd: unknown service em0/divert

"Два вопроса по VLAN+IPFW"
Отправлено A Clockwork Orange , 23-Июн-04 15:11 
natd -n em0 -v
"Два вопроса по VLAN+IPFW"
Отправлено reticon , 24-Июн-04 09:52 
>natd -n em0 -v

In  [TCP] [TCP] 194.67.57.142:2041 -> 217.106.x.x:3037 aliased to
          [TCP] 194.67.57.142:2041 -> 192.168.6.22
In  [UDP] [UDP] 217.106.213.200:53 -> 217.106.x.x:1042 aliased to
          [UDP] 217.106.213.200:53 -> 192.168.17.12:1042
Out [TCP] [TCP] 192.168.0.153:2348 -> 140.176.29.202:3127 aliased to
          [TCP] 217.106.213.200:2348 -> 140.176.29.202:3127
Out [TCP] [TCP] 192.168.0.153:2348 -> 46.165.69.202:3127 aliased to
          [TCP] 217.106.213.200:2348 -> 46.165.29.202:3127

ну и в таком же духе...

"Два вопроса по VLAN+IPFW"
Отправлено A Clockwork Orange , 24-Июн-04 10:40 
1. Что за сеть 192.168.17....
2. Поставь
ipfw add 999 deny log from any to any

сat /var/log/security
при пинге

"Два вопроса по VLAN+IPFW"
Отправлено reticon , 25-Июн-04 12:00 
>1. Что за сеть 192.168.17....

Это сеть 17-го VLAN'а (настроено у меня так, 17 порт на свиче - 17 VLAN)

ну и т.д.

192.168.18.0
192.168.19.0

...


"Два вопроса по VLAN+IPFW"
Отправлено A Clockwork Orange , 25-Июн-04 16:13 
так на каком этапе всЁ сейчас?
"Два вопроса по VLAN+IPFW"
Отправлено reticon , 25-Июн-04 16:22 
>так на каком этапе всЁ сейчас?


этап тот же - работает только при открытом файрволе, т.е. что-то полюбому с правилами диверта, только хз что...

единственное, что еще не делал, так это

> 2. Поставь
> ipfw add 999 deny log from any to any
>
> сat /var/log/security
> при пинге

при пинге чего и откуда?

хотя незнаю, поможет ли...

"Два вопроса по VLAN+IPFW"
Отправлено reticon , 25-Июн-04 16:50 
>единственное, что еще не делал, так это
>
>> 2. Поставь
>> ipfw add 999 deny log from any to any
>>
>> сat /var/log/security
>> при пинге
>
>при пинге чего и откуда?
>
>хотя незнаю, поможет ли...

ну, сделал, вот что пишет:

Jun 25 16:41:14 gw /kernel: ipfw: 999 Deny TCP 192.168.17.12:3724 194.67.57.150:2041 in via vlan17
Jun 25 16:41:14 gw /kernel: ipfw: 999 Deny UDP 192.168.6.21:137 192.168.6.255:137 in via vlan6
Jun 25 16:41:14 gw /kernel: ipfw: 999 Deny TCP 192.168.0.153:3422 169.3.43.97:3127 in via rl0
Jun 25 16:41:14 gw /kernel: ipfw: limit 10 reached on entry 999

"Два вопроса по VLAN+IPFW"
Отправлено A Clockwork Orange , 25-Июн-04 20:54 
Ну так о чем так долго твердили большевики!

Читай посты выше, повторяю
Добавь правило
ipfw add 1 pass all from any to any via vlan*

____________________________________________
ipfw add 10 pass all from any to any via lo0
ipfw add 20 pass all from any to any via rl0
ipfw add 30 pass all from any to any via rl1
ipfw add 40 pass all from any to any via vlan*
ipfw add 50 divert 8668 ip from 192.168.0.0/16 to any out via em0
ipfw add 60 divert 8668 ip from any to 217.106.x.x in via em0
ipfw add 70 pass tcp from any to any established
ipfw add 80 allow tcp from 217.106.x.x to any out em0 setup
ipfw add 80 allow udp from any to any 53
ipfw add 90 allow udp from any 53 to any
ipfw add 100 allow icmp from any to any
ipfw add 65553 deny ip from any to any
________________________________________________

Два диверта можно заменить одним
ipfw add 60 divert 8668 ip from any to any  via em0

Где то так

Дополнительные разрешающие UDP, TCP, запрещающие правила сам по требованию и желанию.

"Два вопроса по VLAN+IPFW"
Отправлено reticon , 25-Июн-04 21:24 
>Ну так о чем так долго твердили большевики!
>
>Читай посты выше, повторяю
>Добавь правило
>ipfw add 1 pass all from any to any via vlan*
>
>____________________________________________
>ipfw add 10 pass all from any to any via lo0
>ipfw add 20 pass all from any to any via rl0
>ipfw add 30 pass all from any to any via rl1
>ipfw add 40 pass all from any to any via vlan*
>ipfw add 50 divert 8668 ip from 192.168.0.0/16 to any out via
>em0
>ipfw add 60 divert 8668 ip from any to 217.106.x.x in via
>em0
>ipfw add 70 pass tcp from any to any established
>ipfw add 80 allow tcp from 217.106.x.x to any out em0 setup
>
>ipfw add 80 allow udp from any to any 53
>ipfw add 90 allow udp from any 53 to any
>ipfw add 100 allow icmp from any to any
>ipfw add 65553 deny ip from any to any
>________________________________________________
>
>Два диверта можно заменить одним
>ipfw add 60 divert 8668 ip from any to any  via
>em0
>
>Где то так
>
>Дополнительные разрешающие UDP, TCP, запрещающие правила сам по требованию и желанию.

да, спасибо огромное, это я торромоз, у меня оказывается все работало и в то время, как я предыдущий пост писал... дело в том что я не мог этого проверить...

мейчас все отлично, правила файрвола немного пофиксить осталось, ну вобщем еще раз спасибо :-)

"Два вопроса по VLAN+IPFW"
Отправлено reticon , 07-Июл-04 10:05 
>>Ну так о чем так долго твердили большевики!
>>
>>Читай посты выше, повторяю
>>Добавь правило
>>ipfw add 1 pass all from any to any via vlan*
>>
>>____________________________________________
>>ipfw add 10 pass all from any to any via lo0
>>ipfw add 20 pass all from any to any via rl0
>>ipfw add 30 pass all from any to any via rl1
>>ipfw add 40 pass all from any to any via vlan*
>>ipfw add 50 divert 8668 ip from 192.168.0.0/16 to any out via
>>em0
>>ipfw add 60 divert 8668 ip from any to 217.106.x.x in via
>>em0
>>ipfw add 70 pass tcp from any to any established
>>ipfw add 80 allow tcp from 217.106.x.x to any out em0 setup
>>
>>ipfw add 80 allow udp from any to any 53
>>ipfw add 90 allow udp from any 53 to any
>>ipfw add 100 allow icmp from any to any
>>ipfw add 65553 deny ip from any to any
>>________________________________________________
>>
>>Два диверта можно заменить одним
>>ipfw add 60 divert 8668 ip from any to any  via
>>em0
>>
>>Где то так
>>
>>Дополнительные разрешающие UDP, TCP, запрещающие правила сам по требованию и желанию.
>
>да, спасибо огромное, это я торромоз, у меня оказывается все работало и
>в то время, как я предыдущий пост писал... дело в том
>что я не мог этого проверить...
>
>мейчас все отлично, правила файрвола немного пофиксить осталось, ну вобщем еще раз
>спасибо :-)

или лыжи не едут, или я !@#$%^&*....

создается только видимость видимость, что все работает с такими правилами... т.е. ощущение что страницы берутся из кэша... на самом деле нихрена не работает, работает только с открытым файрволом, но ведь это не выход...


да, и еще, как настроить MSN messenger - после того как поднял влан он перестал работать.
блин, что же это получается для каждого влан надо в rc.firewall туеву хучу  правил нарезать?