URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 8563
[ Назад ]

Исходное сообщение
"vlan стали видеть друг друга помогите избавиться!"
Отправлено bjacka , 23-Авг-05 11:18

HI All!
Появилась проблемма!
есть маршрутизатор FreeBSD с двумя сетевыми интерфейсами один смотрит
в наружу, второй в локальную сеть, локальный интерфейс побит на 16
vLan и смотрит на 3com 3300 (в каждый влан входит нетэггированный порт клиента
и тэгированный порт в который подключен сервер), все работало замечательно но в один момент
клиенты разных вланов и подсетей стали видеть друг друга что совершенно
не является правильным!
так вот не пойму как они находят друг друга по каким маршрутам?
RIP не поднят!
может кто наступал на такие грабли?

Содержание

vlan стали видеть друг друга помогите избавиться!,sh_, 13:17 , 23-Авг-05
- vlan стали видеть друг друга помогите избавиться!,bjacka, 13:42 , 23-Авг-05
  - vlan стали видеть друг друга помогите избавиться!,fantom, 11:10 , 25-Авг-05
vlan стали видеть друг друга помогите избавиться!,bjacka, 11:08 , 24-Авг-05

Сообщения в этом обсуждении

"vlan стали видеть друг друга помогите избавиться!"
Отправлено sh_ , 23-Авг-05 13:17

Если не хочешь, чтобы они друг друга видели, настрой файрвол...

"vlan стали видеть друг друга помогите избавиться!"
Отправлено bjacka , 23-Авг-05 13:42

>Если не хочешь, чтобы они друг друга видели, настрой файрвол...
да понятно, что если в файерволе правила прописать то они больше себя не увидят, но это геморой т.к. у меня 16 подсетей - очень большой файервол получится..., да и потом при существующих правила все работало.....так как нужно!
блин мистика... а может есть пример файервола? может я что-то себе не правильно представляю

"vlan стали видеть друг друга помогите избавиться!"
Отправлено fantom , 25-Авг-05 11:10

>>Если не хочешь, чтобы они друг друга видели, настрой файрвол...
> да понятно, что если в файерволе правила прописать то они больше
>себя не увидят, но это геморой т.к. у меня 16 подсетей
>- очень большой файервол получится..., да и потом при существующих правила
>все работало.....так как нужно!
>блин мистика... а может есть пример файервола? может я что-то себе не
>правильно представляю
Если на фре разрешен форвардинг и на клиентской машине прописать шлюзом IP фри - то так и будет :)

"vlan стали видеть друг друга помогите избавиться!"
Отправлено bjacka , 24-Авг-05 11:08

вот мой ужасный файервол, подскажите что дописать/исправить чтобы сети друг друга не видели
даю пояснения fxp0-внешний fxp1-внутренний, 192.168.1.0/24 - раздается по VPN,
192.168.0.0/24 - это для служебных нужд...
соответственно хочется чтобы из одной подсети другую видно небыло
(последним правилом в файерволе -"ЗАПРЕТИТЬ ВСЕ")

#!/bin/sh
ipfw -f flush
fwcmd="/sbin/ipfw -q"
${fwcmd} add 100 pass all from any to any via lo0
${fwcmd} add 200 deny all from any to 127.0.0.0/8
##### nat on squid
${fwcmd} add 204 fwd 192.168.1.1,3128 tcp from 192.168.1.0/24 to 0.0.0.0/0 80
${fwcmd} add 205 divert natd all from 192.168.1.0/24 to any out via fxp0
${fwcmd} add 206 divert natd all from any to any in via fxp0
${fwcmd} add 205 divert natd all from 192.168.77.230 to any out via fxp0

${fwcmd} add 215 deny log tcp from any to any 135,138,139,445 via fxp0
${fwcmd} add 215 deny log udp from any to any 135,138,139,445 via fxp0
${fwcmd} add 555 deny all from 192.168.1.0/24 to 192.168.0.0/24
${fwcmd} add 555 deny all from 192.168.0.0/24 to 192.168.1.0/24
${fwcmd} add 555 deny all from 192.168.1.0/24 to 192.168.77.0/24
${fwcmd} add 555 deny all from 192.168.77.0/24 to 192.168.1.0/24
${fwcmd} add 555 deny all from 192.168.1.0/24 to 192.168.11.0/24
${fwcmd} add 555 deny all from 192.168.11.0/24 to 192.168.1.0/24
${fwcmd} add 555 deny all from 192.168.1.0/24 to 192.168.12.0/24
${fwcmd} add 555 deny all from 192.168.12.0/24 to 192.168.1.0/24
${fwcmd} add 555 deny all from 192.168.1.0/24 to 192.168.15.0/24
${fwcmd} add 555 deny all from 192.168.15.0/24 to 192.168.1.0/24
${fwcmd} add 555 deny all from 192.168.1.0/24 to 192.168.16.0/24
${fwcmd} add 555 deny all from 192.168.16.0/24 to 192.168.1.0/24
${fwcmd} add 555 deny all from 192.168.1.0/24 to 192.168.19.0/24
${fwcmd} add 555 deny all from 192.168.19.0/24 to 192.168.1.0/24
${fwcmd} add 555 deny all from 192.168.1.0/24 to 192.168.22.0/24
${fwcmd} add 555 deny all from 192.168.22.0/24 to 192.168.1.0/24
${fwcmd} add 555 deny all from 192.168.1.0/24 to 192.168.23.0/24
${fwcmd} add 555 deny all from 192.168.23.0/24 to 192.168.1.0/24
#${fwcmd} add 555 deny all from 192.168.1.0/24 to 192.168.24.0/24
#${fwcmd} add 555 deny all from 192.168.24.0/24 to 192.168.1.0/24
${fwcmd} add 555 deny all from 192.168.1.0/24 to 192.168.171.0/24
${fwcmd} add 555 deny all from 192.168.171.0/24 to 192.168.1.0/24
#${fwcmd} add 581 deny all from 192.168.0.0/16 to 192.168.77.0/24
#${fwcmd} add 581 deny all from 192.168.77.0/24 to 192.168.0.0/24
${fwcmd} add 700 allow all from any to any
за ранее благодарен