LINUX.ORG.RU
ФорумAdmin

Маршрутизатор на FreeBSD

 ,


0

2

Ищу помощи ибо сам уже окончательно запутался с настройками.
Нужно настроить FreeBSD (версия 9.1) где 3 сетевые карты, и каждая из них подключена в отдельный Свитч с разными сетями.Схема
Нужно настроить так чтобы Отдел Сбыта, ОТК и сеть цеха могли связываться с компьютерами только в своей сети (см. схему). То есть каждая сеть существует отдельно. Но при этом компьютер Админа мог связываться с любым компьютером по любой сети, ну то есть по сути надо просто прописать маршрут в роутере с чем у меня и проблемы.

Маршрутизатор на Fedora 18. Эпические глюки
Прокси с шифрованием - как?

надо просто прописать маршрут в роутере с чем у меня и проблемы

А может всё-таки файрволом, не?

Yustas ★★★★
()

1. Выключи файрвол.

2.

20.20.*.*
30.30.*.*

Это разве сети для внутреннего использования?

3.

10.*.*.*/255.0,0,0 вроде как.

Deleted
()

Ты используешь сети 20 и 30, которые не предназначены для внутреннего использования. Могут возникнуть проблемы. Используй, например, 10.10, 10.20, 10.30.

IPR ★★★★★
()

Внезапно vlan. Какие коммутаторы то?

anton_jugatsu ★★★★
()

по схеме - возьми лучше ip с другого диапазона - тут на выбор 192.168.0.0/16, 10.0.0.0/8 и ещё один, но тебе и одного хватит разделить по подсетям. Могут возникнуть конфликты с глобальной сетью.

Точно не скажу, но кажется, тебе поможет policy-based routing

leader32
()

Я конечно рад что вы беспокоитесь насчет глобалки, но не волнуйтесь проблем не будет, интернет есть только у цеховой сети да и то через прокси. Так что проблем я думаю не должно быть.

Serpico
() автор топика
Ответ на: комментарий от Serpico

Так что проблем я думаю не должно быть.

Не надо делать плохо, надо делать хорошо. (С)

Yustas ★★★★
()
Ответ на: комментарий от Yustas

любой, главное что бы «работал так как было задумано»
В документации в основном описывают ipfw.ko , но если другие чем то легче или лучше то опишите как на них настроить.

Serpico
() автор топика
Ответ на: комментарий от Serpico

А мы и не волнуемся, не нас же будет начальство дрюкать в туда, куда дрюкают.

Deleted
()
Ответ на: комментарий от Serpico

В документации в основном описывают ipfw.ko , но если другие чем то легче или лучше то опишите как на них настроить.

Если не знаешь зачем тебе другие, значит дефолтный подойдёт.
http://www.freebsd.org/doc/handbook/firewalls-ipfw.html
http://www.freebsd.org/doc/ru/books/handbook/firewalls-ipfw.html
Настроить так.

Yustas ★★★★
()
Последнее исправление: Yustas (всего исправлений: 1)

Поднимаешь 4 vlan,
Поднимаешь 4 vlan интерфейса на роутере
Для каждого отдела - свой vlan + один vlan общий.
В общий vlan ставишь комп админа
Прописываешь vlan интерфейсы в качестве default gateway
На роутере прописываешь роуты в/из общего vlan

zgen ★★★★★
()
Ответ на: комментарий от zgen

Поднимаешь 4 vlan,
Поднимаешь 4 vlan интерфейса на роутере
Для каждого отдела - свой vlan + один vlan общий.
В общий vlan ставишь комп админа

А нельзя ли сделать 3 влана и админу отдать сразу 3 влана тегом?

ymuv ★★★★
()
Ответ на: комментарий от ymuv

Можно, но завтра понадобится не только машину админа, но и иные.

zgen ★★★★★
()

Недавно такое делал.
Запрети форварды между подсетями...
Не помню как в ipfw это сделать... 

eth0      Link encap:Ethernet  HWaddr 00:15:17:41:BD:D4
          inet addr:10.0.0.1  Bcast:10.0.0.255  Mask:255.255.255.0
          inet6 addr: fe80::215:17ff:fe41:bdd4/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:569189842 errors:0 dropped:0 overruns:0 frame:0
          TX packets:521344667 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:476948006939 (444.1 GiB)  TX bytes:388531263978 (361.8 GiB)
          Interrupt:18 Memory:b8820000-b8840000

eth0:1    Link encap:Ethernet  HWaddr 00:15:17:41:BD:D4
          inet addr:10.1.1.1  Bcast:10.1.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Interrupt:18 Memory:b8820000-b8840000

eth1      Link encap:Ethernet  HWaddr 00:15:17:41:BD:D5
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::215:17ff:fe41:bdd5/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:76952221 errors:0 dropped:0 overruns:0 frame:0
          TX packets:99921903 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:14011907147 (13.0 GiB)  TX bytes:98625505480 (91.8 GiB)
          Interrupt:19 Memory:b8800000-b8820000
IPTABLES 
-A FORWARD -s 10.0.0.0/24 -d 192.168.0.0/16 -j DROP
-A FORWARD -d 10.0.0.0/24 -s 192.168.0.0/16 -j DROP

notlive
()
Ответ на: комментарий от notlive

И вот еще забыл... 

-A FORWARD -s 192.168.0.0/16 -d 10.0.0.2 -j ACCEPT
-A FORWARD -d 192.168.0.0/16 -s 10.0.0.2 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -d 10.0.0.3 -j ACCEPT
-A FORWARD -d 192.168.0.0/16 -s 10.0.0.3 -j ACCEPT

notlive
()

Вланы непонятно зачем здесь нужны, достаточно, в принципе, одного - админу пустить тегом, когда остальные машины в цеху будут будут жить в нативном, таким образом разделить L2 домен в цеху. Но раз такой задачи нет, то вот так.

Будет 3 интерфейса на роутере: 

fxp0 10.10.0.1/24 - в цех
fxp1 20.20.0.1/24 - в отдел сбыта
fxp2 30.30.0.1/24 - в отдел отк
Маска 24 - для примера, и адреса стоит выбрать из приватного диапазона, но тем не менее.

Пускай адрес компьютера админа будет такой: 10.10.0.2/24

Далее, правила для ipfw (пишу по памяти, могу где-нибудь приврать) 

ipfw add 1 skipto 100 ip from fxp0
ipfw add 2 skipto 200 ip from fxp1
ipfw add 3 skipto 300 ip from fxp2
#этими правилами разделили пакеты от каждого интерфейса, так удобнее и передали обработку в отедельные секции.

ipfw add 100 allow ip from any to 10.10.0.2/24
ipfw add 101 allow ip from 10.10.0.2/24 to any
ipfw add 102 deny ip from any to any

ipfw add 200 allow ip from any to 10.10.0.2/24
ipfw add 201 deny ip from any to any

ipfw add 300 allow ip from any to 10.10.0.2/24
ipfw add 301 deny ip from any to any

Правила ipfw в минимальном виде и если, скажем, на роутере будут какие-нибудь сервисы - правила надо дополнить.

xscrew ★★
()
Последнее исправление: xscrew (всего исправлений: 2)
Ответ на: комментарий от xscrew

О большое спасибо, попробую так сделать

Serpico
() автор топика
Ответ на: комментарий от xscrew

Если админская машина не «роутер» в схеме, то через ssh коннектиться к «роутеру», а оттуда уже в любую сеть попасть можно.

iZEN ★★★★★
()
Последнее исправление: iZEN (всего исправлений: 1)
Ответ на: комментарий от iZEN

Изя, ты как всегда - скажешь глупость и начинаешь выкручиваться. Что лучше - простая прозрачная связность или связность через задницу?

xscrew ★★
()

О боги, Serpico, твоих знаний очевидно недостаточно для работы с сетями. Начни, наверное, с Олиферов.

Для начала, используй другие подсети.

интернет есть только у цеховой сети да и то через прокси. Так что проблем я думаю не должно быть.

Мало ли, что ты там себе думаешь, не делай так. Коммутаторы умеют вланы?

то есть по сути надо просто прописать маршрут в роутере с чем у меня и проблемы.

Проблема у тебя, во-первых, с постановкой задачи.

компьютер Админа мог связываться с любым компьютером по любой сети

btw, xy-problem ощущаю я. http://mywiki.wooledge.org/XyProblem Что именно ты хочешь? Что значит «связываться»? Также, не слушай людей, которые советуют тебе в конкретном данном случае в правилах ipfw матчить по ip, а не по iface.

alx0
()
Ответ на: комментарий от alx0

Однако у меня получилось сделать что я хотел. Вначале правда долго тупил из-за одной мелочи. Нельзя было сделать к примуре пинг только в одну сторону, потому что траффик двухстороний и как это обойти я очень долго думал. В итоге надумал что компьютеры могут только отправлять request, то есть только ответ, а сами создавать соединения через шлюз им запрешено. Вот и вся хитрость была, до которой я не мог додуматься долго.

Serpico
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Маршрутизатор на Fedora 18. Эпические глюки
Admin
Прокси с шифрованием - как?