История изменений
Исправление xscrew, (текущая версия) :
Вланы непонятно зачем здесь нужны, достаточно, в принципе, одного - админу пустить тегом, когда остальные машины в цеху будут будут жить в нативном, таким образом разделить L2 домен в цеху. Но раз такой задачи нет, то вот так.
Будет 3 интерфейса на роутере:
fxp0 10.10.0.1/24 - в цех
fxp1 20.20.0.1/24 - в отдел сбыта
fxp2 30.30.0.1/24 - в отдел отк
Пускай адрес компьютера админа будет такой: 10.10.0.2/24
Далее, правила для ipfw (пишу по памяти, могу где-нибудь приврать)
ipfw add 1 skipto 100 ip from fxp0
ipfw add 2 skipto 200 ip from fxp1
ipfw add 3 skipto 300 ip from fxp2
#этими правилами разделили пакеты от каждого интерфейса, так удобнее и передали обработку в отедельные секции.
ipfw add 100 allow ip from any to 10.10.0.2/24
ipfw add 101 allow ip from 10.10.0.2/24 to any
ipfw add 102 deny ip from any to any
ipfw add 200 allow ip from any to 10.10.0.2/24
ipfw add 201 deny ip from any to any
ipfw add 300 allow ip from any to 10.10.0.2/24
ipfw add 301 deny ip from any to any
Правила ipfw в минимальном виде и если, скажем, на роутере будут какие-нибудь сервисы - правила надо дополнить.
Исправление xscrew, :
Вланы непонятно зачем здесь нужны, достаточно, в принципе, одного - админу пустить тегом, когда остальные машины в цеху будут будут жить в нативном, таким образом разделить L2 домен в цеху. Но раз такой задачи нет, то вот так.
Будет 3 интерфейса на роутере:
fxp0 10.10.0.1/24 - в цех
fxp1 20.20.0.1/24 - в отдел сбыта
fxp2 30.30.0.1/24 - в отдел отк
Пускай адрес компьютера админа будет такой: 10.10.0.2/24
Далее, правила для ipfw (пишу по памяти, могу где-нибудь приврать)
ipfw add 1 skipto 100 ip from fxp0
ipfw add 2 skipto 200 ip from fxp1
ipfw add 3 skipto 300 ip from fxp2
#этими правилами разделили пакеты от каждого интерфейса, так удобнее и передали обработку в отедельные секции.
ipfw add 100 allow ip from any to 10.10.0.2/24
ipfw add 101 allow ip from 10.10.0.2/24 to any
ipfw add 102 deny ip from any to any
ipfw add 200 allow ip from any to 10.10.0.2/24
ipfw add 201 deny ip from any to any
ipfw add 300 allow ip from any to 10.10.0.2/24
ipfw add 301 deny ip from any to any
Правила ipfw в минимальном виде и если, скажем, на роутере будут какие-нибудь сервисы - надо правила надо дополнить.
Исходная версия xscrew, :
Вланы непонятно зачем здесь нужны, достаточно, в принципе, одного - админу пустить тегом, когда остальные машины в цеху будут будут жить в нативном, таким образом разделить L2 домен в цеху. Но раз такой задачи нет, то вот так.
Будет 3 интерфейса на роутере:
fxp0 10.10.0.1/24 - в цех
fxp1 20.20.0.1/24 - в отдел сбыта
fxp2 30.30.0.1/24 - в отдел отк
Пускай адрес компьютера админа будет такой: 10.10.0.2/24
Далее, правила для ipfw (пишу по памяти, могу где-нибудь приврать)
ipfw add 1 skipto 100 ip from fxp0
ipfw add 2 skipto 200 ip from fxp1
ipfw add 3 skipto 300 ip from fxp2
#этими правилами разделили пакеты от каждого интерфейса, так удобнее и передали обработку в отедельные секции.
ipfw add 100 allow ip from any to 10.10.0.2/24
ipfw add 101 allow ip from 10.10.0.2/24 to any
ipfw add 102 deny ip from any to any
ipfw add 200 allow ip from any to 10.10.0.2/24
ipfw add 201 deny ip from any to any
ipfw add 300 allow ip from any to 10.10.0.2/24
ipfw add 301 deny ip from any to any
Правила ipfw в минимальном виде и если, скажем, на роутере будут какие-нибудь сервисы - надо их дополнить.