IPF a fileserver

pese pese at pese.sk
Sun Jan 25 23:25:26 CET 2004


Peter Rosa wrote:

> Zdravim vsetkych,
> 
> prosim, moze mi niekto odpovedat na mozno jednoduchu otazku:
> Mam fileserver s FreeBSD a dvomi sietovymi adaptermi. Kedze FreeBSD nemoze
> mat v jednom stroji dve karty s rovnakym subnetom, jedna ma IP 192.168.1.10
> a druha 192.168.2.10. Siet 192.168.1.0 je urcena pre windoze PC, 192.168.2.0
> je pre Macy. Problem je, ze ARP vidi vsetky PC raz na jednej karte, raz na
> druhej.
> Otazka: ako povolit vsetko zo subnetu 192.168.1.0 IBA na karte 1 a vsetko z
> 192.168.2.0 IBA na karte 2 ? V kerneli mam zakompilovanu podporu IPF, takze
> by som rad pouzil tento fwall (ak nie je ine riesenie).
> 
> Vopred dakujem za pomoc.
> 
> Rosa Peter
> 

Zdravim.

mate mozno viac problemov ako cakate :-)

sice to tu uz pisali, ale predsa. Ak to je na jednom sw, tak s tym moc 
neurobite. Ciastocne vyriesite aspon to, aby vam neprenasal L2 
broadcasty medzi sietovkami tym, ze vypnete bridgeovanie.
najlepsie riesenie je kupit si dva sw, alebo ak mate ten jeden 
manazovatelny, tak ho proste rozdelit na dve VLAN.
S VLAN moze byt problem, ze ak su dalsie switche v ceste, nemusia Vam 
prenasat vlan id. Ja by som osobne odporucil (riesenie tak trochu 
natvrdo) nastavit untagged VLAN a potom sa to bude spravat ako dva 
samostatne switche.

K tomu blokovaniu
(je noc a pisem to z hlavy, takze nejaka ta chyba moze byt)
mam za to, ze je to stroj vo vnutri firmy a su tam len tieto dva 
sietovky a vy chcete len blokovat packety medzi sietami.

prehlasim
net0 -> 192.168.1.0/24, 192.168.1.1
net1 -> 192.168.2.0/24, 192.168.2.1

!! s pravidlom DEFAULT BLOCK !!

# net0
pass in  quick on net0 from 192.168.1.0/24 to 192.168.1.1/32
pass out quick on net0 from 192.168.1.1/32 to 192.168.1.0/24

# net1
pass in  quick on net1 from 192.168.2.0/24 to 192.168.2.1/32
pass out quick on net1 from 192.168.2.1/32 to 192.168.2.0/24

filozofia: mate vsetko blokovane a vy vlastne pustite akukolvek trafiku 
z/do danej siete na/zo servera
je mozne dat volbu proto, port, primiesat keep state a podobne, no toto 
by mohlo stacit






More information about the Users-l mailing list