FreeBSD, как замена коммутатору 2-3 уровня

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Corwin
мл. сержант
Сообщения: 100
Зарегистрирован: 2008-02-15 16:53:24

FreeBSD, как замена коммутатору 2-3 уровня

Непрочитанное сообщение Corwin » 2008-03-16 10:39:26

Есть Lucent MAX4000 c одним портом Ethernet и сервер FreeBSD с поднятым NAT. До недавнего времени он висел во внешней сети и спрятать его во внутреннюю сеть не представлялось возможным, так как не хотелось что-то трогать в виду того, что не было замены для экспериментов. Сейчас он освободился и у меня возникла мысль об установке его в другом городе.

Я всё настроил и подключил. Юзера подключаются по модему и получают IP-адресацию внутренней сети и выходят через NAT наружу (в интернет), но...

выяснилось, что те, кто использует VPN, работает по ssl с сайтами по сдаче налоговой отчётности не могут подключиться к своим серверам.

На FreeBSD в фараволе всего три строчки:
ipdivert и пропуск всего и вся по tcp и gre.

Собственно вопрос заключается в том, почему не всё проходит через FreeBSD (gateway, router) и второй вопрос, может быть сконфигурировать сервер в режиме бриджа, чтобы он был как коммутатор, который пропускает всё всем?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

fr33man
сержант
Сообщения: 218
Зарегистрирован: 2006-09-04 17:41:27
Откуда: Москва
Контактная информация:

Re: FreeBSD, как замена коммутатору 2-3 уровня

Непрочитанное сообщение fr33man » 2008-03-16 22:39:30

1. Смотри tcpdump.
2. Да, фря может работать в режиме моста.
WBR Озеров Василий aka fr33man

wel
сержант
Сообщения: 170
Зарегистрирован: 2007-02-27 11:59:41

Re: FreeBSD, как замена коммутатору 2-3 уровня

Непрочитанное сообщение wel » 2008-03-17 18:57:15

fr33man писал(а): 2. Да, фря может работать в режиме моста.
Вдогонку: if_bridge - на 6.2 - 7.0 работал нормально...

Corwin
мл. сержант
Сообщения: 100
Зарегистрирован: 2008-02-15 16:53:24

Re: FreeBSD, как замена коммутатору 2-3 уровня

Непрочитанное сообщение Corwin » 2008-03-18 19:50:33

Спасибо за ответы. В общем настроил я бридж. Поставил на него squid в прозрачном режиме, написал правила. Но почему-то правила форвардинга игнорируются. fwd ту прокси пакеты считаются, а в логах сквида чисто. Не связано ли это с тем, что бридж - это 2 уровень? Может есть возможность смешать 2 и 3 уровень, дабы распознать и отправить пакеты на сквид?

Corwin
мл. сержант
Сообщения: 100
Зарегистрирован: 2008-02-15 16:53:24

Re: FreeBSD, как замена коммутатору 2-3 уровня

Непрочитанное сообщение Corwin » 2008-03-19 7:42:46

Возникла мысль оставить в покое бридж и сделать из него просто фаравол защитный и может быть шейпером, чтобы он был в будущем...поставить ещё один компик в качестве прокси сервера, который мостом не будет и на нём будет стоять squid, раз уж байты всё-таки форвардятся по порту http (вопрос действительно ли туда куда надо?). В общем, получить что-то наподобие схемы, как работает прокси с Cisco по wccp.

Реализовывал ли кто-нибудь такую схему?

wel
сержант
Сообщения: 170
Зарегистрирован: 2007-02-27 11:59:41

Re: FreeBSD, как замена коммутатору 2-3 уровня

Непрочитанное сообщение wel » 2008-03-19 12:48:34

Я раз сталкивался с тем, что пакеты форвадятся, а в логах прокси - пусто - когда неправильно чего-то настроил или права дал...
Рекомендую настроить просто прокси, а потом включать if_bridge...
ЗЫ:
Я так долго мучался в isc-dhcp-server - поставил, скормил конфиг, а он не работает - оказывается при сборке не ту опцию включил...

А вообще должно работать :)...

Corwin
мл. сержант
Сообщения: 100
Зарегистрирован: 2008-02-15 16:53:24

Re: FreeBSD, как замена коммутатору 2-3 уровня

Непрочитанное сообщение Corwin » 2008-03-19 14:03:18

wel писал(а):Я раз сталкивался с тем, что пакеты форвадятся, а в логах прокси - пусто - когда неправильно чего-то настроил или права дал...
Рекомендую настроить просто прокси, а потом включать if_bridge...
ЗЫ:
Я так долго мучался в isc-dhcp-server - поставил, скормил конфиг, а он не работает - оказывается при сборке не ту опцию включил...

А вообще должно работать :)...
Ну...когда в браузере прописываешь ип и порт, то tail -f access.log показывает, что в лог запросы пишутся. А вот когда форвард пакетов, то ни-ни. Тут что-то другое...

Аватара пользователя
Dron
ст. сержант
Сообщения: 373
Зарегистрирован: 2007-08-15 13:36:28
Откуда: Днепропетровск
Контактная информация:

Re: FreeBSD, как замена коммутатору 2-3 уровня

Непрочитанное сообщение Dron » 2008-03-19 16:24:17

в сквиде transparent настроен? :)
Та Да...

Corwin
мл. сержант
Сообщения: 100
Зарегистрирован: 2008-02-15 16:53:24

Re: FreeBSD, как замена коммутатору 2-3 уровня

Непрочитанное сообщение Corwin » 2008-03-19 18:48:59

_Dron_ писал(а):в сквиде transparent настроен? :)
Конечно :) http_port 3128 transparent - squid 3.0.1. Для проверки, я просто убираю transparent. Хотя меня так достало постоянно сносить и ставить разные его версии (опыты так называемые) из портов, что я в последний раз поставил из паккаджей, а там может чего-нибудь да не включено (надо свой пакадж сделать, наверное) :) Кстати, хоть там и показывает, что пакеты форвардятся на сквид, интернет работает.

Завтра продолжу бой, из портов поставлю :) Вопрос такой назрел...а может где-то фараволу надо сказать, чтобы он "реально" форвардил, а не просто показывал, что байты считаются?

А вообще, я вот чего нашёл при гуглении:

Интерфейсы:
• xl0 – внешний интерфейс с адресом in_ip
• xl1 – внешний интерфейс с адресом out_ip

IPFW
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPDIVERT

/etc/rc.conf
firewall_enable=”YES”
natd_enable=”YES”
natd_interface=”xl0”
firewall_type=”PPTP”

syslog.conf
!ipfw
*.* /var/log/ipfw.log

/etc/rc.firewall (в дополнение к основым правилам)
[Pp][Pp][Tt][Pp])
iif="xl1" #Внутренний интерфейс
oif="xl0" #Внешний интерфейс
iip="in_ip" #ip адрес внутреннего интерфейса шлюза
host="ip_workstaition" #ip адрес клиентской рабочей станции
gate="ip_vpn_server" #ip адрес VPN-сервера
oip="out_ip" #ip адрес внешнего интерфейса шлюза
setup_loopback

${fwcmd} add check-state
${fwcmd} add deny all from any to any frag in via ${oif}
${fwcmd} add deny tcp from any to any established in via ${oif}
${fwcmd} add allow tcp from ${host} 1024-65535 to ${gate} 1723 in via ${iif} setup keep-state
${fwcmd} add allow tcp from ${oip} to ${gate} 1723 out via ${oif} setup keep-state
${fwcmd} add allow tcp from ${gate} 1723 to ${host} 1024-65535 in via ${oif} setup keep-state
${fwcmd} add allow tcp from ${gate} 1723 to ${host} 1024-65535 out via ${iif} setup keep-state
${fwcmd} add allow gre from ${host} to ${gate} in via ${iif}
${fwcmd} add allow gre from ${oip} to ${gate} out via ${oif}
${fwcmd} add allow gre from ${gate} to ${host} in via ${oif}
${fwcmd} add allow gre from ${gate} to ${host} out via ${iif}

${fwcmd} add deny log all from any to any

По словам этих товарищей, это как раз для сдачи налоговой отчётности. Используется VPN из внутренней сети, рабочая станция соединяется с удалённым сервером.

Но всё-таки хочется бриджом иметь шлюзик :) Вот думаю, а не поднять ли Red Hat?