IPF a fileserver
Peter Rosa
prosa at pro.sk
Mon Jan 26 21:28:53 CET 2004
Zdravim vas,
vyskusal som to s ipf a jednoduchymi pravidlami, ktore ste mi poradili, ale
bez vysledku. Ono je to aj logicke, kedze arp protokol nie je zavisly na IP
adrese, vsak ? A tak mi to ten fileserver vypisuje a vypisuje.
Asi najjednoduchsie bude skutocne oddelit dve siete ako fyzicke segmenty.
Esteze mam v skrini par volnych switchov :-)
Ako som pisal v inom threade, ako mam nastavit NAT, aby prekladalo pakety
pre obidve siete (192.168.1.0, 192.168.2.0) ?
Vopred vam dakujem :-)
Peter Rosa
----- Original Message -----
From: "pese" <pese at pese.sk>
To: "FreeBSD mailing list" <users-l at freebsd.cz>
Sent: Sunday, January 25, 2004 11:25 PM
Subject: Re: IPF a fileserver
> Peter Rosa wrote:
>
> > Zdravim vsetkych,
> >
> > prosim, moze mi niekto odpovedat na mozno jednoduchu otazku:
> > Mam fileserver s FreeBSD a dvomi sietovymi adaptermi. Kedze FreeBSD
nemoze
> > mat v jednom stroji dve karty s rovnakym subnetom, jedna ma IP
192.168.1.10
> > a druha 192.168.2.10. Siet 192.168.1.0 je urcena pre windoze PC,
192.168.2.0
> > je pre Macy. Problem je, ze ARP vidi vsetky PC raz na jednej karte, raz
na
> > druhej.
> > Otazka: ako povolit vsetko zo subnetu 192.168.1.0 IBA na karte 1 a
vsetko z
> > 192.168.2.0 IBA na karte 2 ? V kerneli mam zakompilovanu podporu IPF,
takze
> > by som rad pouzil tento fwall (ak nie je ine riesenie).
> >
> > Vopred dakujem za pomoc.
> >
> > Rosa Peter
> >
>
> Zdravim.
>
> mate mozno viac problemov ako cakate :-)
>
> sice to tu uz pisali, ale predsa. Ak to je na jednom sw, tak s tym moc
> neurobite. Ciastocne vyriesite aspon to, aby vam neprenasal L2
> broadcasty medzi sietovkami tym, ze vypnete bridgeovanie.
> najlepsie riesenie je kupit si dva sw, alebo ak mate ten jeden
> manazovatelny, tak ho proste rozdelit na dve VLAN.
> S VLAN moze byt problem, ze ak su dalsie switche v ceste, nemusia Vam
> prenasat vlan id. Ja by som osobne odporucil (riesenie tak trochu
> natvrdo) nastavit untagged VLAN a potom sa to bude spravat ako dva
> samostatne switche.
>
> K tomu blokovaniu
> (je noc a pisem to z hlavy, takze nejaka ta chyba moze byt)
> mam za to, ze je to stroj vo vnutri firmy a su tam len tieto dva
> sietovky a vy chcete len blokovat packety medzi sietami.
>
> prehlasim
> net0 -> 192.168.1.0/24, 192.168.1.1
> net1 -> 192.168.2.0/24, 192.168.2.1
>
> !! s pravidlom DEFAULT BLOCK !!
>
> # net0
> pass in quick on net0 from 192.168.1.0/24 to 192.168.1.1/32
> pass out quick on net0 from 192.168.1.1/32 to 192.168.1.0/24
>
> # net1
> pass in quick on net1 from 192.168.2.0/24 to 192.168.2.1/32
> pass out quick on net1 from 192.168.2.1/32 to 192.168.2.0/24
>
> filozofia: mate vsetko blokovane a vy vlastne pustite akukolvek trafiku
> z/do danej siete na/zo servera
> je mozne dat volbu proto, port, primiesat keep state a podobne, no toto
> by mohlo stacit
>
>
>
> --
> FreeBSD mailing list (users-l at freebsd.cz)
> http://www.freebsd.cz/listserv/listinfo/users-l
>
More information about the Users-l
mailing list