OpenBSD Failover firewall

Вопросы настройки и работы с этой ОС.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Ahab444
рядовой
Сообщения: 31
Зарегистрирован: 2010-08-20 17:59:53
Откуда: Киев

OpenBSD Failover firewall

Непрочитанное сообщение Ahab444 » 2011-12-26 10:14:36

Здрасте.
Есть два OpenBSD 4.9 в отказоустойчивом кластере. CARP + PF + pfsync. По бедности решил не пихать кучу сетевок для всех подсетей, а перевести интерфейс в режим транка и навешать кучу вланов (да и масштабируемость в этом случае лучше). Все работает, но! - если указывать в правилах интерфейс - блокируется весь трафик.

Т.е.
pass proto tcp from $lan_net to ! <rfc1918> port 80 - работает.
pass in on vlan25 from $lan_net to ! <rfc1918> port 80 - не работает.
pass in on carp25 from $lan_net to ! <rfc1918> port 80 - то же не работает (хотя и не должно).

Многие могут посоветовать забить, ведь антиспуфинг включен, но в такое случае нельзя заюзать ftp-proxy, т.к. правила трансляции обязательно требуют указать интерфейс.

Конфиги:

hostname.vlan25

Код: Выделить всё

192.168.25.253 vlan 25 vlandev re1
!/usr/sbin/dhcrelay -i vlan25 192.168.24.1


hostname.carp25

Код: Выделить всё

inet 192.168.25.1 255.255.255.0 NONE vhid 25 pass SECRET carpdev vlan25


ifconfig vlan25

Код: Выделить всё

vlan25: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
        lladdr 0c:09:08:05:0f:09
        priority: 0
        vlan: 25 priority: 0 parent interface: re1
        groups: vlan
        status: active
        inet6 fe80::5ed9:98ff:fef5:5fc9%vlan25 prefixlen 64 scopeid 0x6
        inet 192.168.25.253 netmask 0xffffff00 broadcast 192.168.25.255


ifconfig carp25

Код: Выделить всё

carp25: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        lladdr 00:00:0e:00:01:0f
        priority: 0
        carp: MASTER carpdev vlan25 vhid 25 advbase 1 advskew 0
        groups: carp
        status: master
        inet6 fe80::200:5eff:fe00:10f%carp25 prefixlen 64 scopeid 0xc
        inet 192.168.25.1 netmask 0xffffff00 broadcast 192.168.25.255



Кто нибудь сталкивался с такой бедой?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 34889
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: OpenBSD Failover firewall

Непрочитанное сообщение Alex Keda » 2012-03-08 21:10:10

забить =)
Убей их всех! Бог потом рассортирует...

Dark_ASU
сержант
Сообщения: 258
Зарегистрирован: 2009-10-31 22:13:04
Контактная информация:

Re: OpenBSD Failover firewall

Непрочитанное сообщение Dark_ASU » 2012-03-09 19:45:02

На сколько я понимаю сначала надо на родительском интерфейсе трафик разрешить, а тогда уже влан рулить.


Вернуться в «OpenBSD»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость