OpenBSD Failover firewall

Вопросы настройки и работы с этой ОС.
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Ahab444
рядовой
Сообщения: 31
Зарегистрирован: 2010-08-20 17:59:53
Откуда: Киев

OpenBSD Failover firewall

Непрочитанное сообщение Ahab444 » 2011-12-26 10:14:36

Здрасте.
Есть два OpenBSD 4.9 в отказоустойчивом кластере. CARP + PF + pfsync. По бедности решил не пихать кучу сетевок для всех подсетей, а перевести интерфейс в режим транка и навешать кучу вланов (да и масштабируемость в этом случае лучше). Все работает, но! - если указывать в правилах интерфейс - блокируется весь трафик.

Т.е.
pass proto tcp from $lan_net to ! <rfc1918> port 80 - работает.
pass in on vlan25 from $lan_net to ! <rfc1918> port 80 - не работает.
pass in on carp25 from $lan_net to ! <rfc1918> port 80 - то же не работает (хотя и не должно).

Многие могут посоветовать забить, ведь антиспуфинг включен, но в такое случае нельзя заюзать ftp-proxy, т.к. правила трансляции обязательно требуют указать интерфейс.

Конфиги:

hostname.vlan25

Код: Выделить всё

192.168.25.253 vlan 25 vlandev re1
!/usr/sbin/dhcrelay -i vlan25 192.168.24.1
hostname.carp25

Код: Выделить всё

inet 192.168.25.1 255.255.255.0 NONE vhid 25 pass SECRET carpdev vlan25
ifconfig vlan25

Код: Выделить всё

vlan25: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
        lladdr 0c:09:08:05:0f:09
        priority: 0
        vlan: 25 priority: 0 parent interface: re1
        groups: vlan
        status: active
        inet6 fe80::5ed9:98ff:fef5:5fc9%vlan25 prefixlen 64 scopeid 0x6
        inet 192.168.25.253 netmask 0xffffff00 broadcast 192.168.25.255
ifconfig carp25

Код: Выделить всё

carp25: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        lladdr 00:00:0e:00:01:0f
        priority: 0
        carp: MASTER carpdev vlan25 vhid 25 advbase 1 advskew 0
        groups: carp
        status: master
        inet6 fe80::200:5eff:fe00:10f%carp25 prefixlen 64 scopeid 0xc
        inet 192.168.25.1 netmask 0xffffff00 broadcast 192.168.25.255

Кто нибудь сталкивался с такой бедой?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: OpenBSD Failover firewall

Непрочитанное сообщение Alex Keda » 2012-03-08 21:10:10

забить =)
Убей их всех! Бог потом рассортирует...

Dark_ASU
сержант
Сообщения: 258
Зарегистрирован: 2009-10-31 22:13:04
Контактная информация:

Re: OpenBSD Failover firewall

Непрочитанное сообщение Dark_ASU » 2012-03-09 19:45:02

На сколько я понимаю сначала надо на родительском интерфейсе трафик разрешить, а тогда уже влан рулить.