2 VLAN'a + ebtables
Добавлено: 2008-10-29 18:29:09
Доброго времени суток дамы и господа!
Предлогаю вашему вниманию, нашу проблему....
И надеюся на скорый правильный ответ с её решением.
Дано:
Два VLAN'a, IP адресы в них перемешаны.
Один фтп сервер под управление Linux Ubuntu Server + ebtables + iptables
Задача:
Организовать доступ из обоих VLAN'ов до фтп сервера.
Что сделано:
Подняты два VLAN'а без адресов, соеденины в bridge с адресом из локальной сети.
Для блокировки трафика между VLAN'ами поставлен ebtables (конф1) пинг до сервера с обоих компов идет, пинг от компа до компа не идет.
запустили tcpdump на одной из машин (к1) и стали пинговать его с другой(к2).
к1 видит запрос от к2, к2 ответ не получает.
немного раньше тестировали следующий образом:
был взят управляемый свич на одном порту один влан (100) без тега, на другом (101) без тега, на третьем транк с дефолтовым виланом и двумя тегированными вилами.
к транку подключен сервер, к двум другим виланам компы из одной подсети.
пинг до сервера с обоих компов идет, пинг от компа до компа не идет.
запустили tcpdump на одной из машин (к1) и стали пинговать его с другой(к2).
к1 видит запрос от к2, к2 ответ не получает.
Что получилось:
При выводе сервера в реальную сеть, на интерфейсе br0 траффик с обоих VLAN'ов
Где грабли? Почаму между ними трифик прыгает?
Предлогаю вашему вниманию, нашу проблему....
И надеюся на скорый правильный ответ с её решением.
Дано:
Два VLAN'a, IP адресы в них перемешаны.
Один фтп сервер под управление Linux Ubuntu Server + ebtables + iptables
Задача:
Организовать доступ из обоих VLAN'ов до фтп сервера.
Что сделано:
Подняты два VLAN'а без адресов, соеденины в bridge с адресом из локальной сети.
Для блокировки трафика между VLAN'ами поставлен ebtables (конф1) пинг до сервера с обоих компов идет, пинг от компа до компа не идет.
запустили tcpdump на одной из машин (к1) и стали пинговать его с другой(к2).
к1 видит запрос от к2, к2 ответ не получает.
Код: Выделить всё
### создаем цепочки
ebtables -N f1
ebtables -N f2
###
eptables -A FORWARD -i vlan100 -o vlan101 -j f1
eptables -A FORWARD -i vlan100 -o vlan101 -j DROP
eptables -A FORWARD -i vlan101 -o vlan100 -j f2
eptables -A FORWARD -i vlan101 -o vlan100 -j DROP
немного раньше тестировали следующий образом:
был взят управляемый свич на одном порту один влан (100) без тега, на другом (101) без тега, на третьем транк с дефолтовым виланом и двумя тегированными вилами.
к транку подключен сервер, к двум другим виланам компы из одной подсети.
пинг до сервера с обоих компов идет, пинг от компа до компа не идет.
запустили tcpdump на одной из машин (к1) и стали пинговать его с другой(к2).
к1 видит запрос от к2, к2 ответ не получает.
Что получилось:
При выводе сервера в реальную сеть, на интерфейсе br0 траффик с обоих VLAN'ов
Где грабли? Почаму между ними трифик прыгает?
Код: Выделить всё
p.s. IP-FORWARD 0.