URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 53393
[ Назад ]

Исходное сообщение
"Внутренний роутер (объединение сетей) (FreeBSD 5.1R)"
Отправлено LV10 , 11-Фев-05 13:53

Добрый день! В никсах я зеленый новичек, посему прошу Вашей помощи.
Нужно объеденить две куска сети + зарезать определенный траффик. В одном куске - 10.25.25.*, в другом 10.25.26.*. Сейчас сети соединены свичем, у всех маска 255.255.0.0. Все друг друга видят в сетевом окружение и прочие дела, довольны вообщем.
Компьютер с установленным ФриБСД 5.1R, две сетевухи 100Мбит-ки.: одна сетевая смотрит в кусок сети 10.25.25.* , а вторая сетевка - в 10.25.26.*. Можно-ли такое сделать? броадкаст, я так понимаю умрет сам собой? Чтобы все работало, как я понимаю, нужно сделать форвардинг пакетов с одного интерфейса на другой и наоборот? Чтобы люди видели друг друга в сетевом окружении нужно ставить самбу и давать ей domain master=yes? Смогу-ли я потом, используя ipfw блокировать определенный траффик с одной подсети в другую?
И сразу вопрос: Как сделать переброс пакетов с одной сетевухи на вторую? Нужно-ли мне вставлять в конфигурацию ядра options IPFIREWALL, options IPDIVERT, options IPFIRWALL_FORWARD?
Очень прошу помочь, прочитал много чего, но столько инфы - я уже запутался. Зараннее благодарен. В знак благодарности подарю шестизначную аську. Спасибо!

Содержание

Внутренний роутер (объединение сетей) (FreeBSD 5.1R),denn, 14:09 , 11-Фев-05
Внутренний роутер (объединение сетей) (FreeBSD 5.1R),Simps, 14:53 , 11-Фев-05
- Внутренний роутер (объединение сетей) (FreeBSD 5.1R),LV10, 17:35 , 11-Фев-05
  - Внутренний роутер (объединение сетей) (FreeBSD 5.1R),Simps, 17:38 , 11-Фев-05
  - Внутренний роутер (объединение сетей) (FreeBSD 5.1R),adil_18, 17:42 , 13-Фев-05
Внутренний роутер (объединение сетей) (FreeBSD 5.1R),sm00th, 20:02 , 11-Фев-05
- Внутренний роутер (объединение сетей) (FreeBSD 5.1R),LV10, 21:46 , 11-Фев-05
  - Внутренний роутер (объединение сетей) (FreeBSD 5.1R),LV10, 18:17 , 12-Фев-05

Сообщения в этом обсуждении

"Внутренний роутер (объединение сетей) (FreeBSD 5.1R)"
Отправлено denn , 11-Фев-05 14:09

делай
фаирвол можешь подгрузить модульно
потом фильтровать тоже сможешь

"Внутренний роутер (объединение сетей) (FreeBSD 5.1R)"
Отправлено Simps , 11-Фев-05 14:53

>Добрый день! В никсах я зеленый новичек, посему прошу Вашей помощи.
>
>Нужно объеденить две куска сети + зарезать определенный траффик. В одном куске
>- 10.25.25.*, в другом 10.25.26.*. Сейчас сети соединены свичем, у всех
>маска 255.255.0.0. Все друг друга видят в сетевом окружение и прочие
>дела, довольны вообщем.
>Компьютер с установленным ФриБСД 5.1R, две сетевухи 100Мбит-ки.: одна сетевая смотрит в
>кусок сети 10.25.25.* , а вторая сетевка - в 10.25.26.*. Можно-ли
>такое сделать? броадкаст, я так понимаю умрет сам собой? Чтобы все
>работало, как я понимаю, нужно сделать форвардинг пакетов с одного интерфейса
>на другой и наоборот? Чтобы люди видели друг друга в сетевом
>окружении нужно ставить самбу и давать ей domain master=yes? Смогу-ли я
>потом, используя ipfw блокировать определенный траффик с одной подсети в другую?
>
>
>И сразу вопрос: Как сделать переброс пакетов с одной сетевухи на вторую?
>Нужно-ли мне вставлять в конфигурацию ядра options IPFIREWALL, options IPDIVERT, options
>IPFIRWALL_FORWARD?
>
>Очень прошу помочь, прочитал много чего, но столько инфы - я уже
>запутался. Зараннее благодарен. В знак благодарности подарю шестизначную аську. Спасибо!

http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/netwo...

"Внутренний роутер (объединение сетей) (FreeBSD 5.1R)"
Отправлено LV10 , 11-Фев-05 17:35

>http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/netwo...
читал я хендбук. Но зачем мне мост? мне маршрутизация нужна...или я чего-то не догоняю? Где-то читал, что мост и маршрутизатор почти одно и тоже, но маршрутизатор "глубже" заглядывает в пакеты (свич 3-его левела)...то-то мне и нуно...

"Внутренний роутер (объединение сетей) (FreeBSD 5.1R)"
Отправлено Simps , 11-Фев-05 17:38

>>http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/netwo...
>
>читал я хендбук. Но зачем мне мост? мне маршрутизация нужна...или я чего-то
>не догоняю? Где-то читал, что мост и маршрутизатор почти одно и
>тоже, но маршрутизатор "глубже" заглядывает в пакеты (свич 3-его левела)...то-то мне
>и нуно...
rc.conf
...
gateway_enable="yes"
...
На клиентах шлюз на Freebsd

"Внутренний роутер (объединение сетей) (FreeBSD 5.1R)"
Отправлено adil_18 , 13-Фев-05 17:42

>>http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/netwo...
>
>читал я хендбук. Но зачем мне мост? мне маршрутизация нужна...или я чего-то
>не догоняю? Где-то читал, что мост и маршрутизатор почти одно и
>тоже, но маршрутизатор "глубже" заглядывает в пакеты (свич 3-его левела)...то-то мне
>и нуно...
Да пусть поставит 2-ою сетевую карту

"Внутренний роутер (объединение сетей) (FreeBSD 5.1R)"
Отправлено sm00th , 11-Фев-05 20:02

Здравствуйте!
Всё зависит от того для каких целей надо объединять подсети
Вариант первый:
Можно подсети разделить простым коммутатором(или хабом - т.е. любым устройством работающем на 2-ом уровне) - что этонам даст - все машины автоматически юудут видеть друг друга в сетевом окружении т.е. для немаршрутизируемых протоколов(читай netbios) всё будет прозрачно, но появиться широковещательный трафик который будут забивать канал между сетями, если реализовать такой шлюз на freebsd например то можно туда ещё прикрутить файрвол и резать всё что нужно на 3-уровне т.е. на IP-уровне
чтобы freebsd сделать коммутатором надо вкючить режим бриджа в ней - добавив в ядро
options BRIDGE
Вариант второй
Разделать подсети маршрутизатором - т.е. устройством работающем на 3- уровне
+ отсекаем широковещат. трафик между сетями как класс, файрвол всё также можно использовать
минусы - надо поднимать на sambe - поддержку wins-сервиса , т.к. без него клиенты в разных подсетях не увидят друг друга через сетевое окружение
Я бы посоветовал второй способ - хотя он немного и сложнее - но в целом более перспективен и масштабирование лучше.
Удачи.

"Внутренний роутер (объединение сетей) (FreeBSD 5.1R)"
Отправлено LV10 , 11-Фев-05 21:46

>Здравствуйте!
>Всё зависит от того для каких целей надо объединять подсети
>Вариант первый:
>Можно подсети разделить простым коммутатором(или хабом - т.е. любым устройством работающем на
>2-ом уровне) - что этонам даст - все машины автоматически юудут
>видеть друг друга в сетевом окружении т.е. для немаршрутизируемых протоколов(читай netbios)
>всё будет прозрачно, но появиться широковещательный трафик который будут забивать канал
>между сетями, если реализовать такой шлюз на freebsd например то можно
>туда ещё прикрутить файрвол и резать всё что нужно на 3-уровне
>т.е. на IP-уровне
>чтобы freebsd сделать коммутатором надо вкючить режим бриджа в ней - добавив
>в ядро
>options BRIDGE
>Вариант второй
>Разделать подсети маршрутизатором - т.е. устройством работающем на 3- уровне
>+ отсекаем широковещат. трафик между сетями как класс, файрвол всё также можно
>использовать
>минусы - надо поднимать на sambe - поддержку wins-сервиса , т.к. без
>него клиенты в разных подсетях не увидят друг друга через сетевое
>окружение
>Я бы посоветовал второй способ - хотя он немного и сложнее
>- но в целом более перспективен и масштабирование лучше.
>
>Удачи.
Спасибо за содержательный ответ. Именно нужен второй вариант (Подсети большие - броадкаст мощный). Во втором варианте тоже нужно добавлять OPTIONS BRIDGE? Если у Вас есть желание/возможность написать в ICQ: 4333444. Я буду Вам чрезмерно благодарен.

"Внутренний роутер (объединение сетей) (FreeBSD 5.1R)"
Отправлено LV10 , 12-Фев-05 18:17

Поднял мост. Все заработало. Указал IPFIREWALL, IPFIREWALL_VERBOSE и прочее. в rc.conf firewall_enable="1", firewall_script="/etc/ipfw.rules" Вообщем файерволл включен. Правила записал. НО они выполняются только для самого компьютера...Как запретить например icmp с одного интерфейса на другой?? (из одной полу-сети в другую).