FreeBSD, как замена коммутатору 2-3 уровня

[Corwin]

Есть Lucent MAX4000 c одним портом Ethernet и сервер FreeBSD с поднятым NAT. До недавнего времени он висел во внешней сети и спрятать его во внутреннюю сеть не представлялось возможным, так как не хотелось что-то трогать в виду того, что не было замены для экспериментов. Сейчас он освободился и у меня возникла мысль об установке его в другом городе.

Я всё настроил и подключил. Юзера подключаются по модему и получают IP-адресацию внутренней сети и выходят через NAT наружу (в интернет), но...

выяснилось, что те, кто использует VPN, работает по ssl с сайтами по сдаче налоговой отчётности не могут подключиться к своим серверам.

На FreeBSD в фараволе всего три строчки:
ipdivert и пропуск всего и вся по tcp и gre.

Собственно вопрос заключается в том, почему не всё проходит через FreeBSD (gateway, router) и второй вопрос, может быть сконфигурировать сервер в режиме бриджа, чтобы он был как коммутатор, который пропускает всё всем?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[fr33man]

1. Смотри tcpdump.
2. Да, фря может работать в режиме моста.

[wel]

2. Да, фря может работать в режиме моста.

Вдогонку: if_bridge - на 6.2 - 7.0 работал нормально...

[Corwin]

Спасибо за ответы. В общем настроил я бридж. Поставил на него squid в прозрачном режиме, написал правила. Но почему-то правила форвардинга игнорируются. fwd ту прокси пакеты считаются, а в логах сквида чисто. Не связано ли это с тем, что бридж - это 2 уровень? Может есть возможность смешать 2 и 3 уровень, дабы распознать и отправить пакеты на сквид?

[Corwin]

Возникла мысль оставить в покое бридж и сделать из него просто фаравол защитный и может быть шейпером, чтобы он был в будущем...поставить ещё один компик в качестве прокси сервера, который мостом не будет и на нём будет стоять squid, раз уж байты всё-таки форвардятся по порту http (вопрос действительно ли туда куда надо?). В общем, получить что-то наподобие схемы, как работает прокси с Cisco по wccp.

Реализовывал ли кто-нибудь такую схему?

[wel]

Я раз сталкивался с тем, что пакеты форвадятся, а в логах прокси - пусто - когда неправильно чего-то настроил или права дал...
Рекомендую настроить просто прокси, а потом включать if_bridge...
ЗЫ:
Я так долго мучался в isc-dhcp-server - поставил, скормил конфиг, а он не работает - оказывается при сборке не ту опцию включил...

А вообще должно работать ...

[Corwin]

Я раз сталкивался с тем, что пакеты форвадятся, а в логах прокси - пусто - когда неправильно чего-то настроил или права дал...
Рекомендую настроить просто прокси, а потом включать if_bridge...
ЗЫ:
Я так долго мучался в isc-dhcp-server - поставил, скормил конфиг, а он не работает - оказывается при сборке не ту опцию включил...

А вообще должно работать ...

Ну...когда в браузере прописываешь ип и порт, то tail -f access.log показывает, что в лог запросы пишутся. А вот когда форвард пакетов, то ни-ни. Тут что-то другое...

[Dron]

в сквиде transparent настроен?

[Corwin]

в сквиде transparent настроен?

Конечно http_port 3128 transparent - squid 3.0.1. Для проверки, я просто убираю transparent. Хотя меня так достало постоянно сносить и ставить разные его версии (опыты так называемые) из портов, что я в последний раз поставил из паккаджей, а там может чего-нибудь да не включено (надо свой пакадж сделать, наверное) Кстати, хоть там и показывает, что пакеты форвардятся на сквид, интернет работает.

Завтра продолжу бой, из портов поставлю Вопрос такой назрел...а может где-то фараволу надо сказать, чтобы он "реально" форвардил, а не просто показывал, что байты считаются?

А вообще, я вот чего нашёл при гуглении:

Интерфейсы:
• xl0 – внешний интерфейс с адресом in_ip
• xl1 – внешний интерфейс с адресом out_ip

IPFW
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPDIVERT

/etc/rc.conf
firewall_enable=”YES”
natd_enable=”YES”
natd_interface=”xl0”
firewall_type=”PPTP”

syslog.conf
!ipfw
*.* /var/log/ipfw.log

/etc/rc.firewall (в дополнение к основым правилам)
[Pp][Pp][Tt][Pp])
iif="xl1" #Внутренний интерфейс
oif="xl0" #Внешний интерфейс
iip="in_ip" #ip адрес внутреннего интерфейса шлюза
host="ip_workstaition" #ip адрес клиентской рабочей станции
gate="ip_vpn_server" #ip адрес VPN-сервера
oip="out_ip" #ip адрес внешнего интерфейса шлюза
setup_loopback
…
${fwcmd} add check-state
${fwcmd} add deny all from any to any frag in via ${oif}
${fwcmd} add deny tcp from any to any established in via ${oif}
${fwcmd} add allow tcp from ${host} 1024-65535 to ${gate} 1723 in via ${iif} setup keep-state
${fwcmd} add allow tcp from ${oip} to ${gate} 1723 out via ${oif} setup keep-state
${fwcmd} add allow tcp from ${gate} 1723 to ${host} 1024-65535 in via ${oif} setup keep-state
${fwcmd} add allow tcp from ${gate} 1723 to ${host} 1024-65535 out via ${iif} setup keep-state
${fwcmd} add allow gre from ${host} to ${gate} in via ${iif}
${fwcmd} add allow gre from ${oip} to ${gate} out via ${oif}
${fwcmd} add allow gre from ${gate} to ${host} in via ${oif}
${fwcmd} add allow gre from ${gate} to ${host} out via ${iif}
…
${fwcmd} add deny log all from any to any

По словам этих товарищей, это как раз для сдачи налоговой отчётности. Используется VPN из внутренней сети, рабочая станция соединяется с удалённым сервером.

Но всё-таки хочется бриджом иметь шлюзик Вот думаю, а не поднять ли Red Hat?