Помогите с сегментацией готовой сети

[buryanov]

Hi All
Есть сеть 10.4/16, в ней есть сервера отделов, AD, и тд, менять адресное пространсво не представляется возможным. Появилась необходимость разбить сеть на несколько сегментов. Решил всё сделать спомощью bridge & vlan. Свитч Linksys SRW2048 и для опытов также есть sps224g4
как хотелось, чтобы было:

на фре поднят бридж

Код: Выделить всё

bridge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        member: vlan7 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
        member: fxp0 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>

PC1 в дефолтном vlan, а РС2 в 7. на РС2 я запускаю dhcpclient, получаю адрес и всё, больше ничего не ходит, на интерфейсе(fxp0,bridge0,vlan7) я вижу только arp запросы. Если не поднимать бридж, а влану дать адрес, и РС2 дать адрес из другой подсети соответственно - то всё работает, свитч настроен правильно. Если я делаю мост на 2-х физических интерфейсах роутера (РС2 <-> карта роутера)- то всё работает. Насколько я понял, проблема заключается в накойто неправильной работе vlan & bridge.

вопрос №2
как сделать с помощью ipfw, чтобы PC1 мог инициировать сесию с РС2, например обращение к веб серверу на рс2, а вот РС2 не мог обратится к рс1(быть инициатором сесии), например тоже обращение к веб серверу

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[InventoR]

keep state estableshed
allow from pc1 to pc2
deny from pc2 to pc1

как-то так, давно уже с ipfw не работал.

лучше уточни, у тебя сеть /16 это провайдер или предприятие, и сколько vlan в итоге будешь поднимать на freebsd, и почему freebsd. может нужен l3 уровень с маршрутизацией?

[buryanov]

лучше уточни, у тебя сеть /16 это провайдер или предприятия

10.4/16 - это сеть предприятия

сколько vlan в итоге будешь поднимать на freebsd, и почему freebsd. может нужен l3 уровень с маршрутизацией?

планируется поднять 5-6 vlan в итоге, не думаю что больше, freebsd потомучто TMG влом для этого поднимать, не так уж много для него есть задач, на кошака не дадут денег, а линух в опу, сеть уже устаявшаяся, свичи уже все куплены l2 и пашут в поти лица. необходима будет возможность при небходимосити, нажатием 1 кнопки блокировывать трафик между сегментими