forum.opennet.ru - "Два вопроса по VLAN+IPFW" (26)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Два вопроса по VLAN+IPFW"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Два вопроса по VLAN+IPFW"
Сообщение от reticon (ok) on 22-Июн-04, 05:53 (MSK)
1. Если в сети используется NAT, что нужно прописать на файрволе чтобы все VLAN'ы ходили в инет? Т.е., например, при ifconfig vlan2 inet 192.168.2.1 netmask 255.255.255.0 vlan 2 vlandev rl0 up ... ifconfig vlan10 inet 192.168.10.1 netmask 255.255.255.0 vlan 10 vlandev rl0 up если в rc.firewall прописать просто ${ipfw} add divert natd all from any to any out via ${ifout} то не работает... Как правильно? 2. Как сделать так, чтобы клиенты отдельных VLAN не видели друг-друга? Сейчас, например, из VLAN5 (192.168.5.x) можно пинговать клиентов VLAN8 (192.168.8.X).
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Два вопроса по VLAN+IPFW, A Clockwork Orange, 15:44 , 22-Июн-04, (1)
- Два вопроса по VLAN+IPFW, reticon, 17:49 , 22-Июн-04, (2)
  - Два вопроса по VLAN+IPFW, A Clockwork Orange, 17:51 , 22-Июн-04, (3)
    - Два вопроса по VLAN+IPFW, reticon, 18:15 , 22-Июн-04, (4)
Два вопроса по VLAN+IPFW, Andrey Y. Ostanovsky, 18:36 , 22-Июн-04, (5)
Два вопроса по VLAN+IPFW, Иван, 18:50 , 22-Июн-04, (6)
- Два вопроса по VLAN+IPFW, reticon, 21:21 , 22-Июн-04, (7)
  - Два вопроса по VLAN+IPFW, A Clockwork Orange, 08:44 , 23-Июн-04, (8)
    - Два вопроса по VLAN+IPFW, A Clockwork Orange, 08:59 , 23-Июн-04, (9)
      - Два вопроса по VLAN+IPFW, reticon, 11:51 , 23-Июн-04, (10)
        
        Два вопроса по VLAN+IPFW, A Clockwork Orange, 12:40 , 23-Июн-04, (11)
        
        Два вопроса по VLAN+IPFW, A Clockwork Orange, 12:43 , 23-Июн-04, (12)
        Два вопроса по VLAN+IPFW, reticon, 13:38 , 23-Июн-04, (13)
        
        Два вопроса по VLAN+IPFW, A Clockwork Orange, 14:12 , 23-Июн-04, (14)
        
        Два вопроса по VLAN+IPFW, A Clockwork Orange, 14:50 , 23-Июн-04, (15)
        Два вопроса по VLAN+IPFW, reticon, 15:05 , 23-Июн-04, (16)
        
        Два вопроса по VLAN+IPFW, A Clockwork Orange, 15:11 , 23-Июн-04, (17)
        
        Два вопроса по VLAN+IPFW, reticon, 09:52 , 24-Июн-04, (18)
        
        Два вопроса по VLAN+IPFW, A Clockwork Orange, 10:40 , 24-Июн-04, (19)
        Два вопроса по VLAN+IPFW, reticon, 12:00 , 25-Июн-04, (20)
        Два вопроса по VLAN+IPFW, A Clockwork Orange, 16:13 , 25-Июн-04, (21)
        Два вопроса по VLAN+IPFW, reticon, 16:22 , 25-Июн-04, (22)
        Два вопроса по VLAN+IPFW, reticon, 16:50 , 25-Июн-04, (23)
        Два вопроса по VLAN+IPFW, A Clockwork Orange, 20:54 , 25-Июн-04, (24)
        Два вопроса по VLAN+IPFW, reticon, 21:24 , 25-Июн-04, (25)
        Два вопроса по VLAN+IPFW, reticon, 10:05 , 07-Июл-04, (26)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Два вопроса по VLAN+IPFW"

Сообщение от A Clockwork Orange on 22-Июн-04, 15:44  (MSK)

если запустить natd -v что показывает?

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Два вопроса по VLAN+IPFW"

Сообщение от reticon (??) on 22-Июн-04, 17:49  (MSK)

>если запустить natd -v что показывает?
# natd -v
aliasing address not given

в rc.conf
natd_enable="YES"
natd_interface="em0"
natd_flags=""

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Два вопроса по VLAN+IPFW"

Сообщение от A Clockwork Orange on 22-Июн-04, 17:51  (MSK)

Не ну ты запусти полностью только с -v
natd -i <if> -v
и пингани с хоста какого нибудь из Vlan

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Два вопроса по VLAN+IPFW"

Сообщение от reticon (ok) on 22-Июн-04, 18:15  (MSK)

>Не ну ты запусти полностью только с -v
>natd -i <if> -v
>и пингани с хоста какого нибудь из Vlan
хорошо, сейчас пойду попробую...
A Clockwork Orange, у тебя ася есть?

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Два вопроса по VLAN+IPFW"

Сообщение от Andrey Y. Ostanovsky on 22-Июн-04, 18:36  (MSK)

>1. Если в сети используется NAT, что нужно прописать на файрволе чтобы
>все VLAN'ы ходили в инет?
> ${ipfw} add divert natd all from any to any out via ${ifout}
>то не работает...
Значит пакеты вылетают из ipfw по предыдущему разрешающему правилу, не попадая в диверт. Менять метоположение правила.
>2. Как сделать так, чтобы клиенты отдельных VLAN не видели друг-друга?
>Сейчас, например, из VLAN5 (192.168.5.x) можно пинговать клиентов VLAN8 (192.168.8.X).
Ну, например так:
# ipfw list|grep vlan
deny ip from any to any in via vlan0 out via vlan1
deny ip from any to any in via vlan1 out via vlan0

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Два вопроса по VLAN+IPFW"

Сообщение от Иван on 22-Июн-04, 18:50  (MSK)

>Т.е., например, при
> ${ipfw} add divert natd all from any to any out via
>${ifout}
a демон куда заворачиваешь нужно ведь включать - natd -a {ifout}
>2. Как сделать так, чтобы клиенты отдельных VLAN не видели друг-друга?
>Сейчас, например, из VLAN5 (192.168.5.x) можно пинговать клиентов VLAN8 (192.168.8.X).
${ipfw} add deny all from  192.168.5.x to any via VLAN8
...
??
по умолчанию у тебя они и должны видеть друг-друга, у тебя ведь роутер, а вланы они на втором уровне убирают видимость.

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Два вопроса по VLAN+IPFW"

Сообщение от reticon (??) on 22-Июн-04, 21:21  (MSK)

>>Т.е., например, при
>> ${ipfw} add divert natd all from any to any out via
>>${ifout}
>
>a демон куда заворачиваешь нужно ведь включать - natd -a {ifout}
>>2. Как сделать так, чтобы клиенты отдельных VLAN не видели друг-друга?
>>Сейчас, например, из VLAN5 (192.168.5.x) можно пинговать клиентов VLAN8 (192.168.8.X).
>${ipfw} add deny all from  192.168.5.x to any via VLAN8
>...
>??
>по умолчанию у тебя они и должны видеть друг-друга, у тебя ведь
>роутер, а вланы они на втором уровне убирают видимость.
вот начало rc.firewall
${fwcmd} add pass all from any to any via lo0
${fwcmd} add pass all from any to any via rl0
${fwcmd} add pass all from any to any via rl1
${fwcmd} add divert natd all from 192.168.0.0/24 to any out via em0
${fwcmd} add divert natd all from 192.168.1.0/24 to any out via em0
${fwcmd} add divert natd all from any to 217.106.213.200 in via em0
причем NAT для сети 192.168.0.0/24 работает как положено, т.к. не используютсся VLAN. А для сети 192.168.1.0/24 (там нарезаны VLAN) не работает :(

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Два вопроса по VLAN+IPFW"

Сообщение от A Clockwork Orange on 23-Июн-04, 08:44  (MSK)

у тебя на em висит сеть без Vlan и с Vlan?

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Два вопроса по VLAN+IPFW"

Сообщение от A Clockwork Orange on 23-Июн-04, 08:59  (MSK)

ps -ax
ifconfig -a
ipfw show

Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "Два вопроса по VLAN+IPFW"

Сообщение от reticon (??) on 23-Июн-04, 11:51  (MSK)

>ps -ax
>ifconfig -a
>ipfw show
em0 смотрит наружу.
rl0 и rl1 - внутрь.

#ps -ax | grep natd
PID   TT   STAT   TIME     COMMAND
217   ??   Ss     1:33.76  /sbin/natd -n em0

#ifconfig -a
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
       options=3<rxcsum,txcsum>
       inet 217.106.x.x netmask 0xfffffffc broadcast 217.106.x.x
       ether 00:04:23:a8:04:ea
       media: Ethernet 100baseTX <full-duplex>
       status: active
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
       inet 192.168.100.1 netmask 0xffffff00 broadcast 192.168.100.255
       ether 00:50:22:e1:96:4b
       media: Ethernet autoselect (100baseTX)
       status: active
rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
       inet 192.168.200.1 netmask 0xffffff00 broadcast 192.168.200.255
       ether 00:04:23:e1:82:f9
       media: Ethernet autoselect (100baseTX)
       status: active
vlan2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1496
       inet 192.168.2.1 netmask 0xffffff00 broadcast 192.168.2.255
       ether 00:04:23:e1:82:f9
       media: Ethernet autoselect (100baseTX <full-duplex>)
       status: active
       vlan: 2 parent interface: rl1
...
<skipped>
...
vlan9: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1496
       inet 192.168.9.1 netmask 0xffffff00 broadcast 192.168.9.255
       ether 00:04:23:e1:82:f9
       media: Ethernet autoselect (100baseTX <full-duplex>)
       status: active
       vlan: 9 parent interface: rl1

#ipfw show
00100  252  25102  allow ip from any to any via lo0
00200  5875 619511 allow ip from any to any via rl0
00300  44   3228   allow ip from any to any via rl1
00400  123  16496  allow icmp from any to any
00500  4779 393237 divert 8668 ip from 192.168.100.0/24 to any out xmit via em0
00600  0    0      divert 8668 ip from 192.168.200.0/24 to any out xmit via em0
00700  1085 296067 divert 8668 ip from any to 217.106.x.x in recv em0
00800  65   5806   allow udp from any to any 53
00900  65   10250  allow udp from any 53 to any
01000  39   4678   deny ip from any to any

Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "Два вопроса по VLAN+IPFW"

Сообщение от A Clockwork Orange on 23-Июн-04, 12:40  (MSK)

>>ps -ax
>>ifconfig -a
>>ipfw show
>
>em0 смотрит наружу.
>rl0 и rl1 - внутрь.
>
>
>#ps -ax | grep natd
>
>PID   TT   STAT   TIME
>  COMMAND
>217   ??   Ss     1:33.76
> /sbin/natd -n em0
>
>
>#ifconfig -a
>
>em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
>       options=3<rxcsum,txcsum>
>       inet 217.106.x.x netmask 0xfffffffc broadcast
>217.106.x.x
>       ether 00:04:23:a8:04:ea
>       media: Ethernet 100baseTX <full-duplex>
>       status: active
>rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
>       inet 192.168.100.1 netmask 0xffffff00 broadcast
>192.168.100.255
>       ether 00:50:22:e1:96:4b
>       media: Ethernet autoselect (100baseTX)
>       status: active
>rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
>       inet 192.168.200.1 netmask 0xffffff00 broadcast
>192.168.200.255
>       ether 00:04:23:e1:82:f9
>       media: Ethernet autoselect (100baseTX)
>       status: active
>vlan2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1496
>       inet 192.168.2.1 netmask 0xffffff00 broadcast
>192.168.2.255
>       ether 00:04:23:e1:82:f9
>       media: Ethernet autoselect (100baseTX <full-duplex>)
>       status: active
>       vlan: 2 parent interface: rl1
>
>...
><skipped>
>...
>vlan9: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1496
>       inet 192.168.9.1 netmask 0xffffff00 broadcast
>192.168.9.255
>       ether 00:04:23:e1:82:f9
>       media: Ethernet autoselect (100baseTX <full-duplex>)
>       status: active
>       vlan: 9 parent interface: rl1
>
>
>
>#ipfw show
>
>00100  252  25102  allow ip from any to any
>via lo0
>00200  5875 619511 allow ip from any to any via rl0
>
>00300  44   3228   allow ip from any
>to any via rl1
>00400  123  16496  allow icmp from any to any
>
>00500  4779 393237 divert 8668 ip from 192.168.100.0/24 to any out
>xmit via em0
>00600  0    0
>divert 8668 ip from 192.168.200.0/24 to any out xmit via em0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Почему не vlan сети
192.168.1.0/16
192.168.2.0/16
..............
192.168.9.0/16

>
>00700  1085 296067 divert 8668 ip from any to 217.106.x.x in
>recv em0
>00800  65   5806   allow udp from any
>to any 53
>00900  65   10250  allow udp from any 53
>to any
>01000  39   4678   deny ip from any
>to any

Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "Два вопроса по VLAN+IPFW"

Сообщение от A Clockwork Orange on 23-Июн-04, 12:43  (MSK)

aclockworkorange@operamail.com

Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "Два вопроса по VLAN+IPFW"

Сообщение от reticon (??) on 23-Июн-04, 13:38  (MSK)

>Почему не vlan сети
>192.168.1.0/16
>192.168.2.0/16
>..............
>192.168.9.0/16
>
>
делал я и так но почему-то было ощущение, что ничего не работало...
А почему у тебя маска /16 ? Нахрена так много, или это принципиально?

Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "Два вопроса по VLAN+IPFW"

Сообщение от A Clockwork Orange on 23-Июн-04, 14:12  (MSK)

Пардон тут я нашалил, маска /24.
Измени в правилах и покажи все же natd -i em0 -v

Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "Два вопроса по VLAN+IPFW"

Сообщение от A Clockwork Orange on 23-Июн-04, 14:50  (MSK)

Еще попробуй добавить
${fwcmd} add pass all from any to any via vlan*
или из командной строки
ipfw add 1 pass all from any to any via vlan\*

Рекомендовать в FAQ | Cообщить модератору | Наверх

16. "Два вопроса по VLAN+IPFW"

Сообщение от reticon (??) on 23-Июн-04, 15:05  (MSK)

>Пардон тут я нашалил, маска /24.
>Измени в правилах и покажи все же natd -i em0 -v
сделал, вот что кажет:
#natd -i em0 -v
natd: unknown service em0/divert

Рекомендовать в FAQ | Cообщить модератору | Наверх

17. "Два вопроса по VLAN+IPFW"

Сообщение от A Clockwork Orange on 23-Июн-04, 15:11  (MSK)

natd -n em0 -v

Рекомендовать в FAQ | Cообщить модератору | Наверх

18. "Два вопроса по VLAN+IPFW"

Сообщение от reticon (??) on 24-Июн-04, 09:52  (MSK)

>natd -n em0 -v
In  [TCP] [TCP] 194.67.57.142:2041 -> 217.106.x.x:3037 aliased to
          [TCP] 194.67.57.142:2041 -> 192.168.6.22
In  [UDP] [UDP] 217.106.213.200:53 -> 217.106.x.x:1042 aliased to
          [UDP] 217.106.213.200:53 -> 192.168.17.12:1042
Out [TCP] [TCP] 192.168.0.153:2348 -> 140.176.29.202:3127 aliased to
          [TCP] 217.106.213.200:2348 -> 140.176.29.202:3127
Out [TCP] [TCP] 192.168.0.153:2348 -> 46.165.69.202:3127 aliased to
          [TCP] 217.106.213.200:2348 -> 46.165.29.202:3127
ну и в таком же духе...

Рекомендовать в FAQ | Cообщить модератору | Наверх

19. "Два вопроса по VLAN+IPFW"

Сообщение от A Clockwork Orange on 24-Июн-04, 10:40  (MSK)

1. Что за сеть 192.168.17....
2. Поставь
ipfw add 999 deny log from any to any
сat /var/log/security
при пинге

Рекомендовать в FAQ | Cообщить модератору | Наверх

20. "Два вопроса по VLAN+IPFW"

Сообщение от reticon (??) on 25-Июн-04, 12:00  (MSK)

>1. Что за сеть 192.168.17....
Это сеть 17-го VLAN'а (настроено у меня так, 17 порт на свиче - 17 VLAN)
ну и т.д.
192.168.18.0
192.168.19.0
...

Рекомендовать в FAQ | Cообщить модератору | Наверх

21. "Два вопроса по VLAN+IPFW"

Сообщение от A Clockwork Orange on 25-Июн-04, 16:13  (MSK)

так на каком этапе всЁ сейчас?

Рекомендовать в FAQ | Cообщить модератору | Наверх

22. "Два вопроса по VLAN+IPFW"

Сообщение от reticon (??) on 25-Июн-04, 16:22  (MSK)

>так на каком этапе всЁ сейчас?

этап тот же - работает только при открытом файрволе, т.е. что-то полюбому с правилами диверта, только хз что...
единственное, что еще не делал, так это
> 2. Поставь
> ipfw add 999 deny log from any to any
>
> сat /var/log/security
> при пинге
при пинге чего и откуда?
хотя незнаю, поможет ли...

Рекомендовать в FAQ | Cообщить модератору | Наверх

23. "Два вопроса по VLAN+IPFW"

Сообщение от reticon (ok) on 25-Июн-04, 16:50  (MSK)

>единственное, что еще не делал, так это
>
>> 2. Поставь
>> ipfw add 999 deny log from any to any
>>
>> сat /var/log/security
>> при пинге
>
>при пинге чего и откуда?
>
>хотя незнаю, поможет ли...
ну, сделал, вот что пишет:
Jun 25 16:41:14 gw /kernel: ipfw: 999 Deny TCP 192.168.17.12:3724 194.67.57.150:2041 in via vlan17
Jun 25 16:41:14 gw /kernel: ipfw: 999 Deny UDP 192.168.6.21:137 192.168.6.255:137 in via vlan6
Jun 25 16:41:14 gw /kernel: ipfw: 999 Deny TCP 192.168.0.153:3422 169.3.43.97:3127 in via rl0
Jun 25 16:41:14 gw /kernel: ipfw: limit 10 reached on entry 999

Рекомендовать в FAQ | Cообщить модератору | Наверх

24. "Два вопроса по VLAN+IPFW"

Сообщение от A Clockwork Orange on 25-Июн-04, 20:54  (MSK)

Ну так о чем так долго твердили большевики!
Читай посты выше, повторяю
Добавь правило
ipfw add 1 pass all from any to any via vlan*
____________________________________________
ipfw add 10 pass all from any to any via lo0
ipfw add 20 pass all from any to any via rl0
ipfw add 30 pass all from any to any via rl1
ipfw add 40 pass all from any to any via vlan*
ipfw add 50 divert 8668 ip from 192.168.0.0/16 to any out via em0
ipfw add 60 divert 8668 ip from any to 217.106.x.x in via em0
ipfw add 70 pass tcp from any to any established
ipfw add 80 allow tcp from 217.106.x.x to any out em0 setup
ipfw add 80 allow udp from any to any 53
ipfw add 90 allow udp from any 53 to any
ipfw add 100 allow icmp from any to any
ipfw add 65553 deny ip from any to any
________________________________________________
Два диверта можно заменить одним
ipfw add 60 divert 8668 ip from any to any  via em0
Где то так
Дополнительные разрешающие UDP, TCP, запрещающие правила сам по требованию и желанию.

Рекомендовать в FAQ | Cообщить модератору | Наверх

25. "Два вопроса по VLAN+IPFW"

Сообщение от reticon (ok) on 25-Июн-04, 21:24  (MSK)

>Ну так о чем так долго твердили большевики!
>
>Читай посты выше, повторяю
>Добавь правило
>ipfw add 1 pass all from any to any via vlan*
>
>____________________________________________
>ipfw add 10 pass all from any to any via lo0
>ipfw add 20 pass all from any to any via rl0
>ipfw add 30 pass all from any to any via rl1
>ipfw add 40 pass all from any to any via vlan*
>ipfw add 50 divert 8668 ip from 192.168.0.0/16 to any out via
>em0
>ipfw add 60 divert 8668 ip from any to 217.106.x.x in via
>em0
>ipfw add 70 pass tcp from any to any established
>ipfw add 80 allow tcp from 217.106.x.x to any out em0 setup
>
>ipfw add 80 allow udp from any to any 53
>ipfw add 90 allow udp from any 53 to any
>ipfw add 100 allow icmp from any to any
>ipfw add 65553 deny ip from any to any
>________________________________________________
>
>Два диверта можно заменить одним
>ipfw add 60 divert 8668 ip from any to any  via
>em0
>
>Где то так
>
>Дополнительные разрешающие UDP, TCP, запрещающие правила сам по требованию и желанию.
да, спасибо огромное, это я торромоз, у меня оказывается все работало и в то время, как я предыдущий пост писал... дело в том что я не мог этого проверить...
мейчас все отлично, правила файрвола немного пофиксить осталось, ну вобщем еще раз спасибо :-)

Рекомендовать в FAQ | Cообщить модератору | Наверх

26. "Два вопроса по VLAN+IPFW"

Сообщение от reticon (ok) on 07-Июл-04, 10:05  (MSK)

>>Ну так о чем так долго твердили большевики!
>>
>>Читай посты выше, повторяю
>>Добавь правило
>>ipfw add 1 pass all from any to any via vlan*
>>
>>____________________________________________
>>ipfw add 10 pass all from any to any via lo0
>>ipfw add 20 pass all from any to any via rl0
>>ipfw add 30 pass all from any to any via rl1
>>ipfw add 40 pass all from any to any via vlan*
>>ipfw add 50 divert 8668 ip from 192.168.0.0/16 to any out via
>>em0
>>ipfw add 60 divert 8668 ip from any to 217.106.x.x in via
>>em0
>>ipfw add 70 pass tcp from any to any established
>>ipfw add 80 allow tcp from 217.106.x.x to any out em0 setup
>>
>>ipfw add 80 allow udp from any to any 53
>>ipfw add 90 allow udp from any 53 to any
>>ipfw add 100 allow icmp from any to any
>>ipfw add 65553 deny ip from any to any
>>________________________________________________
>>
>>Два диверта можно заменить одним
>>ipfw add 60 divert 8668 ip from any to any  via
>>em0
>>
>>Где то так
>>
>>Дополнительные разрешающие UDP, TCP, запрещающие правила сам по требованию и желанию.
>
>да, спасибо огромное, это я торромоз, у меня оказывается все работало и
>в то время, как я предыдущий пост писал... дело в том
>что я не мог этого проверить...
>
>мейчас все отлично, правила файрвола немного пофиксить осталось, ну вобщем еще раз
>спасибо :-)
или лыжи не едут, или я !@#$%^&*....
создается только видимость видимость, что все работает с такими правилами... т.е. ощущение что страницы берутся из кэша... на самом деле нихрена не работает, работает только с открытым файрволом, но ведь это не выход...

да, и еще, как настроить MSN messenger - после того как поднял влан он перестал работать.
блин, что же это получается для каждого влан надо в rc.firewall туеву хучу  правил нарезать?

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Два вопроса по VLAN+IPFW"
Сообщение от A Clockwork Orange on 22-Июн-04, 15:44 (MSK)
если запустить natd -v что показывает?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Два вопроса по VLAN+IPFW"
	Сообщение от reticon (??) on 22-Июн-04, 17:49 (MSK)
	>если запустить natd -v что показывает? # natd -v aliasing address not given в rc.conf natd_enable="YES" natd_interface="em0" natd_flags=""
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Два вопроса по VLAN+IPFW"
	Сообщение от A Clockwork Orange on 22-Июн-04, 17:51 (MSK)
	Не ну ты запусти полностью только с -v natd -i <if> -v и пингани с хоста какого нибудь из Vlan
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "Два вопроса по VLAN+IPFW"
	Сообщение от reticon (ok) on 22-Июн-04, 18:15 (MSK)
	>Не ну ты запусти полностью только с -v >natd -i <if> -v >и пингани с хоста какого нибудь из Vlan хорошо, сейчас пойду попробую... A Clockwork Orange, у тебя ася есть?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

5. "Два вопроса по VLAN+IPFW"
Сообщение от Andrey Y. Ostanovsky on 22-Июн-04, 18:36 (MSK)
>1. Если в сети используется NAT, что нужно прописать на файрволе чтобы >все VLAN'ы ходили в инет? > ${ipfw} add divert natd all from any to any out via ${ifout} >то не работает... Значит пакеты вылетают из ipfw по предыдущему разрешающему правилу, не попадая в диверт. Менять метоположение правила. >2. Как сделать так, чтобы клиенты отдельных VLAN не видели друг-друга? >Сейчас, например, из VLAN5 (192.168.5.x) можно пинговать клиентов VLAN8 (192.168.8.X). Ну, например так: # ipfw list\|grep vlan deny ip from any to any in via vlan0 out via vlan1 deny ip from any to any in via vlan1 out via vlan0
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

6. "Два вопроса по VLAN+IPFW"
Сообщение от Иван on 22-Июн-04, 18:50 (MSK)
>Т.е., например, при > ${ipfw} add divert natd all from any to any out via >${ifout} a демон куда заворачиваешь нужно ведь включать - natd -a {ifout} >2. Как сделать так, чтобы клиенты отдельных VLAN не видели друг-друга? >Сейчас, например, из VLAN5 (192.168.5.x) можно пинговать клиентов VLAN8 (192.168.8.X). ${ipfw} add deny all from 192.168.5.x to any via VLAN8 ... ?? по умолчанию у тебя они и должны видеть друг-друга, у тебя ведь роутер, а вланы они на втором уровне убирают видимость.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "Два вопроса по VLAN+IPFW"
	Сообщение от reticon (??) on 22-Июн-04, 21:21 (MSK)
	>>Т.е., например, при >> ${ipfw} add divert natd all from any to any out via >>${ifout} > >a демон куда заворачиваешь нужно ведь включать - natd -a {ifout} >>2. Как сделать так, чтобы клиенты отдельных VLAN не видели друг-друга? >>Сейчас, например, из VLAN5 (192.168.5.x) можно пинговать клиентов VLAN8 (192.168.8.X). >${ipfw} add deny all from 192.168.5.x to any via VLAN8 >... >?? >по умолчанию у тебя они и должны видеть друг-друга, у тебя ведь >роутер, а вланы они на втором уровне убирают видимость. вот начало rc.firewall ${fwcmd} add pass all from any to any via lo0 ${fwcmd} add pass all from any to any via rl0 ${fwcmd} add pass all from any to any via rl1 ${fwcmd} add divert natd all from 192.168.0.0/24 to any out via em0 ${fwcmd} add divert natd all from 192.168.1.0/24 to any out via em0 ${fwcmd} add divert natd all from any to 217.106.213.200 in via em0 причем NAT для сети 192.168.0.0/24 работает как положено, т.к. не используютсся VLAN. А для сети 192.168.1.0/24 (там нарезаны VLAN) не работает :(
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "Два вопроса по VLAN+IPFW"
	Сообщение от A Clockwork Orange on 23-Июн-04, 08:44 (MSK)
	у тебя на em висит сеть без Vlan и с Vlan?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "Два вопроса по VLAN+IPFW"
	Сообщение от A Clockwork Orange on 23-Июн-04, 08:59 (MSK)
	ps -ax ifconfig -a ipfw show
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "Два вопроса по VLAN+IPFW"
	Сообщение от reticon (??) on 23-Июн-04, 11:51 (MSK)
	>ps -ax >ifconfig -a >ipfw show em0 смотрит наружу. rl0 и rl1 - внутрь. #ps -ax \| grep natd PID TT STAT TIME COMMAND 217 ?? Ss 1:33.76 /sbin/natd -n em0 #ifconfig -a em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 options=3<rxcsum,txcsum> inet 217.106.x.x netmask 0xfffffffc broadcast 217.106.x.x ether 00:04:23:a8:04:ea media: Ethernet 100baseTX <full-duplex> status: active rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 inet 192.168.100.1 netmask 0xffffff00 broadcast 192.168.100.255 ether 00:50:22:e1:96:4b media: Ethernet autoselect (100baseTX) status: active rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 inet 192.168.200.1 netmask 0xffffff00 broadcast 192.168.200.255 ether 00:04:23:e1:82:f9 media: Ethernet autoselect (100baseTX) status: active vlan2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1496 inet 192.168.2.1 netmask 0xffffff00 broadcast 192.168.2.255 ether 00:04:23:e1:82:f9 media: Ethernet autoselect (100baseTX <full-duplex>) status: active vlan: 2 parent interface: rl1 ... <skipped> ... vlan9: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1496 inet 192.168.9.1 netmask 0xffffff00 broadcast 192.168.9.255 ether 00:04:23:e1:82:f9 media: Ethernet autoselect (100baseTX <full-duplex>) status: active vlan: 9 parent interface: rl1 #ipfw show 00100 252 25102 allow ip from any to any via lo0 00200 5875 619511 allow ip from any to any via rl0 00300 44 3228 allow ip from any to any via rl1 00400 123 16496 allow icmp from any to any 00500 4779 393237 divert 8668 ip from 192.168.100.0/24 to any out xmit via em0 00600 0 0 divert 8668 ip from 192.168.200.0/24 to any out xmit via em0 00700 1085 296067 divert 8668 ip from any to 217.106.x.x in recv em0 00800 65 5806 allow udp from any to any 53 00900 65 10250 allow udp from any 53 to any 01000 39 4678 deny ip from any to any
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	11. "Два вопроса по VLAN+IPFW"
	Сообщение от A Clockwork Orange on 23-Июн-04, 12:40 (MSK)
	>>ps -ax >>ifconfig -a >>ipfw show > >em0 смотрит наружу. >rl0 и rl1 - внутрь. > > >#ps -ax \| grep natd > >PID TT STAT TIME > COMMAND >217 ?? Ss 1:33.76 > /sbin/natd -n em0 > > >#ifconfig -a > >em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 > options=3<rxcsum,txcsum> > inet 217.106.x.x netmask 0xfffffffc broadcast >217.106.x.x > ether 00:04:23:a8:04:ea > media: Ethernet 100baseTX <full-duplex> > status: active >rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 > inet 192.168.100.1 netmask 0xffffff00 broadcast >192.168.100.255 > ether 00:50:22:e1:96:4b > media: Ethernet autoselect (100baseTX) > status: active >rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 > inet 192.168.200.1 netmask 0xffffff00 broadcast >192.168.200.255 > ether 00:04:23:e1:82:f9 > media: Ethernet autoselect (100baseTX) > status: active >vlan2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1496 > inet 192.168.2.1 netmask 0xffffff00 broadcast >192.168.2.255 > ether 00:04:23:e1:82:f9 > media: Ethernet autoselect (100baseTX <full-duplex>) > status: active > vlan: 2 parent interface: rl1 > >... ><skipped> >... >vlan9: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1496 > inet 192.168.9.1 netmask 0xffffff00 broadcast >192.168.9.255 > ether 00:04:23:e1:82:f9 > media: Ethernet autoselect (100baseTX <full-duplex>) > status: active > vlan: 9 parent interface: rl1 > > > >#ipfw show > >00100 252 25102 allow ip from any to any >via lo0 >00200 5875 619511 allow ip from any to any via rl0 > >00300 44 3228 allow ip from any >to any via rl1 >00400 123 16496 allow icmp from any to any > >00500 4779 393237 divert 8668 ip from 192.168.100.0/24 to any out >xmit via em0 >00600 0 0 >divert 8668 ip from 192.168.200.0/24 to any out xmit via em0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Почему не vlan сети 192.168.1.0/16 192.168.2.0/16 .............. 192.168.9.0/16 > >00700 1085 296067 divert 8668 ip from any to 217.106.x.x in >recv em0 >00800 65 5806 allow udp from any >to any 53 >00900 65 10250 allow udp from any 53 >to any >01000 39 4678 deny ip from any >to any
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	12. "Два вопроса по VLAN+IPFW"
	Сообщение от A Clockwork Orange on 23-Июн-04, 12:43 (MSK)
	aclockworkorange@operamail.com
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	13. "Два вопроса по VLAN+IPFW"
	Сообщение от reticon (??) on 23-Июн-04, 13:38 (MSK)
	>Почему не vlan сети >192.168.1.0/16 >192.168.2.0/16 >.............. >192.168.9.0/16 > > делал я и так но почему-то было ощущение, что ничего не работало... А почему у тебя маска /16 ? Нахрена так много, или это принципиально?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	14. "Два вопроса по VLAN+IPFW"
	Сообщение от A Clockwork Orange on 23-Июн-04, 14:12 (MSK)
	Пардон тут я нашалил, маска /24. Измени в правилах и покажи все же natd -i em0 -v
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	15. "Два вопроса по VLAN+IPFW"
	Сообщение от A Clockwork Orange on 23-Июн-04, 14:50 (MSK)
	Еще попробуй добавить ${fwcmd} add pass all from any to any via vlan* или из командной строки ipfw add 1 pass all from any to any via vlan\*
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	16. "Два вопроса по VLAN+IPFW"
	Сообщение от reticon (??) on 23-Июн-04, 15:05 (MSK)
	>Пардон тут я нашалил, маска /24. >Измени в правилах и покажи все же natd -i em0 -v сделал, вот что кажет: #natd -i em0 -v natd: unknown service em0/divert
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	17. "Два вопроса по VLAN+IPFW"
	Сообщение от A Clockwork Orange on 23-Июн-04, 15:11 (MSK)
	natd -n em0 -v
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	18. "Два вопроса по VLAN+IPFW"
	Сообщение от reticon (??) on 24-Июн-04, 09:52 (MSK)
	>natd -n em0 -v In [TCP] [TCP] 194.67.57.142:2041 -> 217.106.x.x:3037 aliased to [TCP] 194.67.57.142:2041 -> 192.168.6.22 In [UDP] [UDP] 217.106.213.200:53 -> 217.106.x.x:1042 aliased to [UDP] 217.106.213.200:53 -> 192.168.17.12:1042 Out [TCP] [TCP] 192.168.0.153:2348 -> 140.176.29.202:3127 aliased to [TCP] 217.106.213.200:2348 -> 140.176.29.202:3127 Out [TCP] [TCP] 192.168.0.153:2348 -> 46.165.69.202:3127 aliased to [TCP] 217.106.213.200:2348 -> 46.165.29.202:3127 ну и в таком же духе...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	19. "Два вопроса по VLAN+IPFW"
	Сообщение от A Clockwork Orange on 24-Июн-04, 10:40 (MSK)
	1. Что за сеть 192.168.17.... 2. Поставь ipfw add 999 deny log from any to any сat /var/log/security при пинге
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	20. "Два вопроса по VLAN+IPFW"
	Сообщение от reticon (??) on 25-Июн-04, 12:00 (MSK)
	>1. Что за сеть 192.168.17.... Это сеть 17-го VLAN'а (настроено у меня так, 17 порт на свиче - 17 VLAN) ну и т.д. 192.168.18.0 192.168.19.0 ...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	21. "Два вопроса по VLAN+IPFW"
	Сообщение от A Clockwork Orange on 25-Июн-04, 16:13 (MSK)
	так на каком этапе всЁ сейчас?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	22. "Два вопроса по VLAN+IPFW"
	Сообщение от reticon (??) on 25-Июн-04, 16:22 (MSK)
	>так на каком этапе всЁ сейчас? этап тот же - работает только при открытом файрволе, т.е. что-то полюбому с правилами диверта, только хз что... единственное, что еще не делал, так это > 2. Поставь > ipfw add 999 deny log from any to any > > сat /var/log/security > при пинге при пинге чего и откуда? хотя незнаю, поможет ли...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	23. "Два вопроса по VLAN+IPFW"
	Сообщение от reticon (ok) on 25-Июн-04, 16:50 (MSK)
	>единственное, что еще не делал, так это > >> 2. Поставь >> ipfw add 999 deny log from any to any >> >> сat /var/log/security >> при пинге > >при пинге чего и откуда? > >хотя незнаю, поможет ли... ну, сделал, вот что пишет: Jun 25 16:41:14 gw /kernel: ipfw: 999 Deny TCP 192.168.17.12:3724 194.67.57.150:2041 in via vlan17 Jun 25 16:41:14 gw /kernel: ipfw: 999 Deny UDP 192.168.6.21:137 192.168.6.255:137 in via vlan6 Jun 25 16:41:14 gw /kernel: ipfw: 999 Deny TCP 192.168.0.153:3422 169.3.43.97:3127 in via rl0 Jun 25 16:41:14 gw /kernel: ipfw: limit 10 reached on entry 999
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	24. "Два вопроса по VLAN+IPFW"
	Сообщение от A Clockwork Orange on 25-Июн-04, 20:54 (MSK)
	Ну так о чем так долго твердили большевики! Читай посты выше, повторяю Добавь правило ipfw add 1 pass all from any to any via vlan* ____________________________________________ ipfw add 10 pass all from any to any via lo0 ipfw add 20 pass all from any to any via rl0 ipfw add 30 pass all from any to any via rl1 ipfw add 40 pass all from any to any via vlan* ipfw add 50 divert 8668 ip from 192.168.0.0/16 to any out via em0 ipfw add 60 divert 8668 ip from any to 217.106.x.x in via em0 ipfw add 70 pass tcp from any to any established ipfw add 80 allow tcp from 217.106.x.x to any out em0 setup ipfw add 80 allow udp from any to any 53 ipfw add 90 allow udp from any 53 to any ipfw add 100 allow icmp from any to any ipfw add 65553 deny ip from any to any ________________________________________________ Два диверта можно заменить одним ipfw add 60 divert 8668 ip from any to any via em0 Где то так Дополнительные разрешающие UDP, TCP, запрещающие правила сам по требованию и желанию.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	25. "Два вопроса по VLAN+IPFW"
	Сообщение от reticon (ok) on 25-Июн-04, 21:24 (MSK)
	>Ну так о чем так долго твердили большевики! > >Читай посты выше, повторяю >Добавь правило >ipfw add 1 pass all from any to any via vlan* > >____________________________________________ >ipfw add 10 pass all from any to any via lo0 >ipfw add 20 pass all from any to any via rl0 >ipfw add 30 pass all from any to any via rl1 >ipfw add 40 pass all from any to any via vlan* >ipfw add 50 divert 8668 ip from 192.168.0.0/16 to any out via >em0 >ipfw add 60 divert 8668 ip from any to 217.106.x.x in via >em0 >ipfw add 70 pass tcp from any to any established >ipfw add 80 allow tcp from 217.106.x.x to any out em0 setup > >ipfw add 80 allow udp from any to any 53 >ipfw add 90 allow udp from any 53 to any >ipfw add 100 allow icmp from any to any >ipfw add 65553 deny ip from any to any >________________________________________________ > >Два диверта можно заменить одним >ipfw add 60 divert 8668 ip from any to any via >em0 > >Где то так > >Дополнительные разрешающие UDP, TCP, запрещающие правила сам по требованию и желанию. да, спасибо огромное, это я торромоз, у меня оказывается все работало и в то время, как я предыдущий пост писал... дело в том что я не мог этого проверить... мейчас все отлично, правила файрвола немного пофиксить осталось, ну вобщем еще раз спасибо :-)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	26. "Два вопроса по VLAN+IPFW"
	Сообщение от reticon (ok) on 07-Июл-04, 10:05 (MSK)
	>>Ну так о чем так долго твердили большевики! >> >>Читай посты выше, повторяю >>Добавь правило >>ipfw add 1 pass all from any to any via vlan* >> >>____________________________________________ >>ipfw add 10 pass all from any to any via lo0 >>ipfw add 20 pass all from any to any via rl0 >>ipfw add 30 pass all from any to any via rl1 >>ipfw add 40 pass all from any to any via vlan* >>ipfw add 50 divert 8668 ip from 192.168.0.0/16 to any out via >>em0 >>ipfw add 60 divert 8668 ip from any to 217.106.x.x in via >>em0 >>ipfw add 70 pass tcp from any to any established >>ipfw add 80 allow tcp from 217.106.x.x to any out em0 setup >> >>ipfw add 80 allow udp from any to any 53 >>ipfw add 90 allow udp from any 53 to any >>ipfw add 100 allow icmp from any to any >>ipfw add 65553 deny ip from any to any >>________________________________________________ >> >>Два диверта можно заменить одним >>ipfw add 60 divert 8668 ip from any to any via >>em0 >> >>Где то так >> >>Дополнительные разрешающие UDP, TCP, запрещающие правила сам по требованию и желанию. > >да, спасибо огромное, это я торромоз, у меня оказывается все работало и >в то время, как я предыдущий пост писал... дело в том >что я не мог этого проверить... > >мейчас все отлично, правила файрвола немного пофиксить осталось, ну вобщем еще раз >спасибо :-) или лыжи не едут, или я !@#$%^&*.... создается только видимость видимость, что все работает с такими правилами... т.е. ощущение что страницы берутся из кэша... на самом деле нихрена не работает, работает только с открытым файрволом, но ведь это не выход... да, и еще, как настроить MSN messenger - после того как поднял влан он перестал работать. блин, что же это получается для каждого влан надо в rc.firewall туеву хучу правил нарезать?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх