FreeBSD, как замена коммутатору 2-3 уровня
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- мл. сержант
- Сообщения: 100
- Зарегистрирован: 2008-02-15 16:53:24
FreeBSD, как замена коммутатору 2-3 уровня
Есть Lucent MAX4000 c одним портом Ethernet и сервер FreeBSD с поднятым NAT. До недавнего времени он висел во внешней сети и спрятать его во внутреннюю сеть не представлялось возможным, так как не хотелось что-то трогать в виду того, что не было замены для экспериментов. Сейчас он освободился и у меня возникла мысль об установке его в другом городе.
Я всё настроил и подключил. Юзера подключаются по модему и получают IP-адресацию внутренней сети и выходят через NAT наружу (в интернет), но...
выяснилось, что те, кто использует VPN, работает по ssl с сайтами по сдаче налоговой отчётности не могут подключиться к своим серверам.
На FreeBSD в фараволе всего три строчки:
ipdivert и пропуск всего и вся по tcp и gre.
Собственно вопрос заключается в том, почему не всё проходит через FreeBSD (gateway, router) и второй вопрос, может быть сконфигурировать сервер в режиме бриджа, чтобы он был как коммутатор, который пропускает всё всем?
Я всё настроил и подключил. Юзера подключаются по модему и получают IP-адресацию внутренней сети и выходят через NAT наружу (в интернет), но...
выяснилось, что те, кто использует VPN, работает по ssl с сайтами по сдаче налоговой отчётности не могут подключиться к своим серверам.
На FreeBSD в фараволе всего три строчки:
ipdivert и пропуск всего и вся по tcp и gre.
Собственно вопрос заключается в том, почему не всё проходит через FreeBSD (gateway, router) и второй вопрос, может быть сконфигурировать сервер в режиме бриджа, чтобы он был как коммутатор, который пропускает всё всем?
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- сержант
- Сообщения: 218
- Зарегистрирован: 2006-09-04 17:41:27
- Откуда: Москва
- Контактная информация:
Re: FreeBSD, как замена коммутатору 2-3 уровня
1. Смотри tcpdump.
2. Да, фря может работать в режиме моста.
2. Да, фря может работать в режиме моста.
WBR Озеров Василий aka fr33man
-
- сержант
- Сообщения: 170
- Зарегистрирован: 2007-02-27 11:59:41
Re: FreeBSD, как замена коммутатору 2-3 уровня
Вдогонку: if_bridge - на 6.2 - 7.0 работал нормально...fr33man писал(а): 2. Да, фря может работать в режиме моста.
-
- мл. сержант
- Сообщения: 100
- Зарегистрирован: 2008-02-15 16:53:24
Re: FreeBSD, как замена коммутатору 2-3 уровня
Спасибо за ответы. В общем настроил я бридж. Поставил на него squid в прозрачном режиме, написал правила. Но почему-то правила форвардинга игнорируются. fwd ту прокси пакеты считаются, а в логах сквида чисто. Не связано ли это с тем, что бридж - это 2 уровень? Может есть возможность смешать 2 и 3 уровень, дабы распознать и отправить пакеты на сквид?
-
- мл. сержант
- Сообщения: 100
- Зарегистрирован: 2008-02-15 16:53:24
Re: FreeBSD, как замена коммутатору 2-3 уровня
Возникла мысль оставить в покое бридж и сделать из него просто фаравол защитный и может быть шейпером, чтобы он был в будущем...поставить ещё один компик в качестве прокси сервера, который мостом не будет и на нём будет стоять squid, раз уж байты всё-таки форвардятся по порту http (вопрос действительно ли туда куда надо?). В общем, получить что-то наподобие схемы, как работает прокси с Cisco по wccp.
Реализовывал ли кто-нибудь такую схему?
Реализовывал ли кто-нибудь такую схему?
-
- сержант
- Сообщения: 170
- Зарегистрирован: 2007-02-27 11:59:41
Re: FreeBSD, как замена коммутатору 2-3 уровня
Я раз сталкивался с тем, что пакеты форвадятся, а в логах прокси - пусто - когда неправильно чего-то настроил или права дал...
Рекомендую настроить просто прокси, а потом включать if_bridge...
ЗЫ:
Я так долго мучался в isc-dhcp-server - поставил, скормил конфиг, а он не работает - оказывается при сборке не ту опцию включил...
А вообще должно работать
...
Рекомендую настроить просто прокси, а потом включать if_bridge...
ЗЫ:
Я так долго мучался в isc-dhcp-server - поставил, скормил конфиг, а он не работает - оказывается при сборке не ту опцию включил...
А вообще должно работать

-
- мл. сержант
- Сообщения: 100
- Зарегистрирован: 2008-02-15 16:53:24
Re: FreeBSD, как замена коммутатору 2-3 уровня
Ну...когда в браузере прописываешь ип и порт, то tail -f access.log показывает, что в лог запросы пишутся. А вот когда форвард пакетов, то ни-ни. Тут что-то другое...wel писал(а):Я раз сталкивался с тем, что пакеты форвадятся, а в логах прокси - пусто - когда неправильно чего-то настроил или права дал...
Рекомендую настроить просто прокси, а потом включать if_bridge...
ЗЫ:
Я так долго мучался в isc-dhcp-server - поставил, скормил конфиг, а он не работает - оказывается при сборке не ту опцию включил...
А вообще должно работать...
- Dron
- ст. сержант
- Сообщения: 373
- Зарегистрирован: 2007-08-15 13:36:28
- Откуда: Днепропетровск
- Контактная информация:
-
- мл. сержант
- Сообщения: 100
- Зарегистрирован: 2008-02-15 16:53:24
Re: FreeBSD, как замена коммутатору 2-3 уровня
Конечно_Dron_ писал(а):в сквиде transparent настроен?


Завтра продолжу бой, из портов поставлю

А вообще, я вот чего нашёл при гуглении:
Интерфейсы:
• xl0 – внешний интерфейс с адресом in_ip
• xl1 – внешний интерфейс с адресом out_ip
IPFW
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPDIVERT
/etc/rc.conf
firewall_enable=”YES”
natd_enable=”YES”
natd_interface=”xl0”
firewall_type=”PPTP”
syslog.conf
!ipfw
*.* /var/log/ipfw.log
/etc/rc.firewall (в дополнение к основым правилам)
[Pp][Pp][Tt][Pp])
iif="xl1" #Внутренний интерфейс
oif="xl0" #Внешний интерфейс
iip="in_ip" #ip адрес внутреннего интерфейса шлюза
host="ip_workstaition" #ip адрес клиентской рабочей станции
gate="ip_vpn_server" #ip адрес VPN-сервера
oip="out_ip" #ip адрес внешнего интерфейса шлюза
setup_loopback
…
${fwcmd} add check-state
${fwcmd} add deny all from any to any frag in via ${oif}
${fwcmd} add deny tcp from any to any established in via ${oif}
${fwcmd} add allow tcp from ${host} 1024-65535 to ${gate} 1723 in via ${iif} setup keep-state
${fwcmd} add allow tcp from ${oip} to ${gate} 1723 out via ${oif} setup keep-state
${fwcmd} add allow tcp from ${gate} 1723 to ${host} 1024-65535 in via ${oif} setup keep-state
${fwcmd} add allow tcp from ${gate} 1723 to ${host} 1024-65535 out via ${iif} setup keep-state
${fwcmd} add allow gre from ${host} to ${gate} in via ${iif}
${fwcmd} add allow gre from ${oip} to ${gate} out via ${oif}
${fwcmd} add allow gre from ${gate} to ${host} in via ${oif}
${fwcmd} add allow gre from ${gate} to ${host} out via ${iif}
…
${fwcmd} add deny log all from any to any
По словам этих товарищей, это как раз для сдачи налоговой отчётности. Используется VPN из внутренней сети, рабочая станция соединяется с удалённым сервером.
Но всё-таки хочется бриджом иметь шлюзик
