Вопросы по firewall

lpoonyx · Непрочитанное сообщение **lpoonyx** » 2012-10-08 12:47:41

Всем доброго дня. Сейчас работаем над варинтами терминации VLAN во FreeBSD.Сделан аналог ip unnumbered.
Всё работает как часы,всё отлично.Сейчас встала другая задача.
1.Проработать различные схемы работы файрвола, где для каждого интерфейса используется свой набор правил. Трафик входящий/исходящий на этом интерфейсе должен полноценно обрабатываться этими правилами, при этом по данным правилам не должны ни коим образом проходить пакеты из других интерфейсов.
2.Настроить шейпер на одну/две vlan, исходя из выводов, сделанных в п.1.
В данный момент смотрю в сторону ipfw+netgraph,но может что-то более интересное кто подскажет.Нагрузка на сервер всё же тоже интересна.С примерами работы было бы вообще замечательно

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

skeletor

netgraph достаточно сложен в изучении, зато больше возможностей. Почему нельзя просто использовать ipfw с via vlanXXX?

lpoonyx · Непрочитанное сообщение **lpoonyx** » 2012-10-12 8:59:48

skeletor писал(а):netgraph достаточно сложен в изучении, зато больше возможностей. Почему нельзя просто использовать ipfw с via vlanXXX?

Причина в том,что допустим у нас 100 vlan. Приходящий пакет на 99 vlan-ку начнёт дербанить все правила вплоть до 99 vlan-ки. А нам так не надо. Надо чтобы понимало ,что например пакет приходящий на 100 vlan начинал проверять правила например с 90 номера

lpoonyx · Непрочитанное сообщение **lpoonyx** » 2012-10-12 9:06:35

сейчас вот нашёл патч для Ipfw ,который добавляет возможность заносить в таблица имена интерфейсов. Буду копать.

Anoanus · Непрочитанное сообщение **Anoanus** » 2012-10-12 10:56:55

lpoonyx писал(а):
skeletor писал(а):netgraph достаточно сложен в изучении, зато больше возможностей. Почему нельзя просто использовать ipfw с via vlanXXX?
Причина в том,что допустим у нас 100 vlan. Приходящий пакет на 99 vlan-ку начнёт дербанить все правила вплоть до 99 vlan-ки. А нам так не надо. Надо чтобы понимало ,что например пакет приходящий на 100 vlan начинал проверять правила например с 90 номера

А чем аца русской демократии не устраивают skip to?

lpoonyx · Непрочитанное сообщение **lpoonyx** » 2012-10-12 11:22:38

ну а как ,Вы в любом случае будете проходить 500 правил.Одно дело если бы была группа например 500 вланов на одно правило ,а 500 на другое,тогда вопросов нету.

Anoanus · Непрочитанное сообщение **Anoanus** » 2012-10-12 11:27:29

skip to 400 ip from ... to ... via if1
Чем не годится?

Anoanus · Непрочитанное сообщение **Anoanus** » 2012-10-12 11:34:25

Например

skip to 4 ip from me to any out via if1
skip to 10 ip from any to me in via if1
skip to 999
ipfw add 4 allow ip from me to any 80 out via if1
ipfw add 5 allow ip from me to any 443 out via if1
skip to 999

ipfw add 10 allow ip from any 80 to me in via if1
ipfw add 11 allow ip from any 443 to me in via if1
skip to 999
ipfw add 999 deny from any to any

механизьм понятен?

mak_v_ · Непрочитанное сообщение **mak_v_** » 2012-10-12 11:40:45

Ну если так "карасиво", чтоб "интелектуально проверялись все лабиринты", то приходят в голову только анчоры на pf

forum.lissyara.su

Вопросы по firewall

Вопросы по firewall

Услуги хостинговой компании Host-Food.ru

Re: Вопросы по firewall

Re: Вопросы по firewall

Re: Вопросы по firewall

Re: Вопросы по firewall

Re: Вопросы по firewall

Re: Вопросы по firewall

Re: Вопросы по firewall

Re: Вопросы по firewall