terrible писал(а):
gthe писал(а):
Нужно реализовать схему примерно такого плана.
20-50 вланы имеют доступ только к 10-11 вланам.
100-102 вланы между собой + в инет через 11 влан.
103-110 вланы только между собой.
ну и т.д.
Но делать это нужно НЕ используя информацию о ИП в вланах, а только идентификаторы вланов источника/назначения.
Доступ из одного влана в другой производится путём IP маршрутизации, следовательно пакет будет иметь свойства:
src ip src mac src port - dst ip dst mac dst port ip/udp
Подскажите, как на такой пакет можно прибить правило, основываясь на VLAN dst?
Зная ИП назначения можно по таблице роутинга найти сеть назначения и интерфейс, через который эта сеть достижима.
Зная интерфейс - знаем влан.
terrible писал(а):
Подскажите пример правил на линуксовом роутере под ваши задачи.
Код:
iptables -A FORWARD -i eth1.20 -o eth2.10 -j ACCEPT
iptables -A FORWARD -i eth1.20 -o eth2.11 -j ACCEPT
iptables -A FORWARD -i eth1.20 -o any -j DROP
А вот интересно как описать правила разрешений (используя существующий механизм ACL Длинка) на обмен пакетами с вланом, в котором находиться шлюз в инет ?? Как описать подсеть всего инета ??
Вот пример.
влан 10 - 192.168.0.1/24 (192.168.0.5 - шлюз в инет)
влан 11 - 192.168.4.1/23
Влан 20 - 192.168.10.1/28
Влан 21 - 192.168.10.17/28
Влан 100 - 8.8.8.8/27 (белые ИП у клиентов)
Несколько раз пытался составить ACL для разрешения хотя бы такой схемы - все вланы с ИД > 11 могут общаться только с вланами с ИД<=11 но НЕ между собой.
Голову сломать можно.
Вход
Регистрация
FAQ
Поиск
