2 VLAN'a + ebtables

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
DFX[RUS]
проходил мимо

2 VLAN'a + ebtables

Непрочитанное сообщение DFX[RUS] » 2008-10-29 18:29:09

Доброго времени суток дамы и господа!
Предлогаю вашему вниманию, нашу проблему....
И надеюся на скорый правильный ответ с её решением.

Дано:
Два VLAN'a, IP адресы в них перемешаны.
Один фтп сервер под управление Linux Ubuntu Server + ebtables + iptables

Задача:

Организовать доступ из обоих VLAN'ов до фтп сервера.

Что сделано:

Подняты два VLAN'а без адресов, соеденины в bridge с адресом из локальной сети.
Для блокировки трафика между VLAN'ами поставлен ebtables (конф1) пинг до сервера с обоих компов идет, пинг от компа до компа не идет.
запустили tcpdump на одной из машин (к1) и стали пинговать его с другой(к2).
к1 видит запрос от к2, к2 ответ не получает.


Код: Выделить всё

### создаем цепочки
ebtables -N f1
ebtables -N f2

### 
eptables -A FORWARD -i vlan100 -o vlan101 -j f1
eptables -A FORWARD -i vlan100 -o vlan101 -j DROP

eptables -A FORWARD -i vlan101 -o vlan100 -j f2
eptables -A FORWARD -i vlan101 -o vlan100 -j DROP

немного раньше тестировали следующий образом:
был взят управляемый свич на одном порту один влан (100) без тега, на другом (101) без тега, на третьем транк с дефолтовым виланом и двумя тегированными вилами.
к транку подключен сервер, к двум другим виланам компы из одной подсети.

пинг до сервера с обоих компов идет, пинг от компа до компа не идет.
запустили tcpdump на одной из машин (к1) и стали пинговать его с другой(к2).
к1 видит запрос от к2, к2 ответ не получает.

Что получилось:

При выводе сервера в реальную сеть, на интерфейсе br0 траффик с обоих VLAN'ов

Где грабли? Почаму между ними трифик прыгает?

Код: Выделить всё

p.s. IP-FORWARD 0.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: 2 VLAN'a + ebtables

Непрочитанное сообщение paradox » 2008-10-29 21:28:04

в линуксы

зы
http://www.opennet.ru/opennews/art.shtml?num=18637
может поможет

DFX[RUS]
проходил мимо

Re: 2 VLAN'a + ebtables

Непрочитанное сообщение DFX[RUS] » 2008-10-30 9:17:57

примеры настройки - хорошо, но дело не в них.

пробовали, будучи еще на фре, поднимать теже два вилана, но из-за того, что адресация в виланах смешанная пробросить алиасы не представляется возможным.
пинг до сервера есть с одного вилана, с другого нет. если отключить первый, второй работает.
как мне кажется, сервер просто не понимает в какой вилан ему отвечать...


попробую более четко описать ситуацию:

есть головной коммутатор dlink dgs-3426, к нему подключены биллинг, два сервера доступа, фтп и еще ряд серверов.
каждый сервер доступа обслуживает свой вилан с юзерами.
юзеры ходят на фтп по локальным адресам, беря информацию об авторизации с биллинга по радиусу.

так вот, когда включается фтп сервер происходит коллапс и юзеры отваливаются от серверов доступа.
tcpdump интерфейса br0 на фтп сервере показывает, что якобы сервер доступа находится на разных машиных - более 10 мак-адресов ...


в общем - :bn: