форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"ipfw+router+3 логических подсети в одной физической сети"
Сообщение от Некто (ok) on 05-Авг-05, 12:20  (MSK)
Доброго времени суток! Такая проблема: есть компьютер, выполняющий роль гейта. В нём 5 сетевых интерфейсов: an0 (internet) ep0 192.168.101.160 ed0 192.168.1.111 ed1 192.168.2.222 ed2 192.168.3.254 1, 2 и 3 подсети используются для раздачи интернета арендаторам (прошу не бить меня за такое решение, просто арендаторы хотят свои подсети и так легче считать траффик). Все интерфейсы, кроме an0, подключены к одному физическому сегменту сети, т.е., например, с машины с адресом 192.168.3.1 без проблем можно зайти по SSH на 192.168.101.160 при таких правилах такие коннекты разрешены 00070 allow ip from 192.168.101.0/24 to any in recv ep0 00080 allow ip from any to 192.168.101.0/24 out xmit ep0 00090 allow ip from 192.168.1.0/24 to any in recv ed0 00100 allow ip from any to 192.168.1.0/24 out xmit ed0 00110 allow ip from 192.168.2.0/24 to any in recv ed1 00120 allow ip from any to 192.168.2.0/24 out xmit ed1 00130 allow ip from 192.168.3.0/24 to any in recv ed2 00140 allow ip from any to 192.168.3.0/24 out xmit ed2 как мне запретит коннекты из разных подсетей? пробовал по-разному, но что-то не получилось....
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "ipfw+router+3 логических подсети в одной физической сети"
Сообщение от Elbrus (??) on 05-Авг-05, 13:20  (MSK)
хмммм ну попробуй поменять from any(to any) на from внешний айпишник(to вн. айпишник) инетовский который... тогда доступ будет разрешен только между подсетью и инетом но мне кажется там что то по замороченнее у тебя но попробуй
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "ipfw+router+3 логических подсети в одной физической сети"
Сообщение от YuryD (ok) on 05-Авг-05, 13:24  (MSK)
>Все интерфейсы, кроме an0, подключены к одному физическому сегменту сети, т.е., например, >с машины с адресом 192.168.3.1 без проблем можно зайти по SSH >на 192.168.101.160 Мдаа, проще повесить все адреса на ep0 алиасами, ed выкинуть >как мне запретит коннекты из разных подсетей? >пробовал по-разному, но что-то не получилось.... И не должно, пакет придет через любой интерфейс общего сегмента, неужели вам не надоели сообщения от arp в логах ? По поводу запрета - пишите конкретные правила типа deny ip from 192.168.1.0/24 to 192.168.2.0/24
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "ipfw+router+3 логических подсети в одной физической сети"
	Сообщение от Некто (ok) on 08-Авг-05, 08:08  (MSK)
	> Мдаа, проще повесить все адреса на ep0 алиасами, ed выкинуть Что-то слышал насчёт этого, но это кажись есть пока только в Линуксе и в новых версиях ФриБСД. Если я не прав, то подскажи как мне это сделать. > И не должно, пакет придет через любой интерфейс общего сегмента, > неужели вам не надоели сообщения от arp в логах ? Нет, не надоели, привык. :) > По поводу запрета - пишите конкретные правила типа > deny ip from 192.168.1.0/24 to 192.168.2.0/24 Спасибо, буду пробовать.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "ipfw+router+3 логических подсети в одной физической сети"
	Сообщение от Некто (ok) on 08-Авг-05, 13:14  (MSK)
	И будет ли с алиасами работать trafd?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.