форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"VLAN для определенного пользователя"
Сообщение от Psy on 17-Ноя-03, 14:07  (MSK)
Доброго времени суток! Кто сможет подсказать? Есть такая задача... в моей обычной сети есть пара комерческих клиентов, которых мне хотелось бы изолировать от остальных пользователей, но так как они находятся на одном сегменте с другими пользователями, то кинуть к ним отдельный кабель не выйдет, вот я и подумал, а можно ли поднять впн, но выход в нет по нему давать только определенным пользователям, которым не нужны прочие внутресетевые сервисы, но критична защищенность от всяких внутренних самоучек... Вот скажите, какой рецепт в данном случае будет наиболее простым и в то же время позволит решить указанную проблему... Сервер на freeBSD 4.8, NAT, ipfw, rl0= внешний интерфейс rl1= внутренний интерфейс
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "VLAN для определенного пользователя"
Сообщение от Sega on 17-Ноя-03, 15:52  (MSK)
>Есть такая задача... в моей обычной сети есть пара комерческих клиентов, которых >мне хотелось бы изолировать от остальных пользователей, но так как они >находятся на одном сегменте с другими пользователями, то кинуть к ним >отдельный кабель не выйдет, вот я и подумал, а можно ли >поднять впн, но выход в нет по нему давать только определенным >пользователям, которым не нужны прочие внутресетевые сервисы, но критична защищенность от >всяких внутренних самоучек... Вот скажите, какой рецепт в данном случае будет >наиболее простым и в то же время позволит решить указанную проблему... ММ /sbin/ipfw add NNNN deny ip from 192.168.0.0/16 to VIP_IP Только правила по которые описывают работу вип клиентов должны быть перед этим.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "VLAN для определенного пользователя"
	Сообщение от Psy on 17-Ноя-03, 17:27  (MSK)
	>>> >/sbin/ipfw add NNNN deny ip from 192.168.0.0/16 to VIP_IP >Только правила по которые описывают работу вип клиентов должны быть перед этим. > 192.168.10.0/24 - простые клиенты 192.168.10.0/24 - випы Чего-то я не допонял... по моему это правило закрывает только прохождение пакетов от простых к випам через сервер, но все эти клиенты располежены у меня на одних и тех же проводах... Что помешает простому... прописать "пошире" маску и не получить доступ к випу напрямую...??? Меня интересует... прежде всего... как их разграничить vlan -ом. Чтобы трафик от випов до сервера шифровался и соответсвенно, чтобы простые не имели никакой возможности "пробится" к адресам випов... даже если они будут на соседних портах одного хаба...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "VLAN для определенного пользователя"
	Сообщение от A Clockwork Orange on 17-Ноя-03, 17:33  (MSK)
	Вариант Поднимаешь на итверфейсе что к клиентам алиас. Основноый адрес для простых клиентов, алиас для других. Фаерволом закрываешь хождение пакетов между двумя сетями. В одном адресном пространстве никак не запретишь общаться машинам между собой, если только фаерволами на рабочих станциях
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "VLAN для определенного пользователя"
	Сообщение от Nikolaev_D on 17-Ноя-03, 17:35  (MSK)
	>Меня интересует... прежде всего... как их разграничить vlan -ом. Чтобы трафик от >випов до сервера шифровался и соответсвенно, чтобы простые не имели никакой >возможности "пробится" к адресам випов http://www.google.com.ru/search?q=freebsd+vlan+howto&ie=UTF-8&oe=UTF-8&hl=ru&lr= vlan и vpn это вообще нескольно разные понятия.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "VLAN для определенного пользователя"
	Сообщение от Psy on 18-Ноя-03, 09:52  (MSK)
	Отправлено A Clockwork Orange, 17-Ноя-03 17:33   >Вариант >Поднимаешь на итверфейсе что к клиентам алиас. >Основноый адрес для простых клиентов, алиас для других. >Фаерволом закрываешь хождение пакетов между двумя сетями. > >В одном адресном пространстве никак не запретишь общаться машинам между собой, если >только фаерволами на рабочих станциях Минус такой задумки только в том, что отбиваться будут только пакеты, которые идут между клиентами ЧЕРЕЗ сервер. Если обращение будет производится напрямую - то ничего не выйдет.. > >>Меня интересует... прежде всего... как их разграничить vlan -ом. Чтобы трафик от >>випов до сервера шифровался и соответсвенно, чтобы простые не имели никакой >>возможности "пробится" к адресам випов > >http://www.google.com.ru/search?q=freebsd+vlan+howto&ie=UTF-8&oe=UTF-8&hl=ru&lr= > >vlan и vpn это вообще нескольно разные понятия. Тогда по крайней мере скажи мне.. что м моем случае может помочь и как в краце это сделать... Заранее благодарен...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "VLAN для определенного пользователя"
	Сообщение от A Clockwork Orange on 18-Ноя-03, 10:11  (MSK)
	>Отправлено A Clockwork Orange, 17-Ноя-03 17:33 >>Вариант >>Поднимаешь на итверфейсе что к клиентам алиас. >>Основноый адрес для простых клиентов, алиас для других. >>Фаерволом закрываешь хождение пакетов между двумя сетями. >> >>В одном адресном пространстве никак не запретишь общаться машинам между собой, если >>только фаерволами на рабочих станциях >Минус такой задумки только в том, что отбиваться будут только пакеты, которые >идут между клиентами ЧЕРЕЗ сервер. Если обращение будет производится напрямую - >то ничего не выйдет.. Ну ты не прав, как ты не прав... напрямую сети никак не связаны, общение между сетями идут исключительно через маршрутизатор >> >>>Меня интересует... прежде всего... как их разграничить vlan -ом. Чтобы трафик от >>>випов до сервера шифровался и соответсвенно, чтобы простые не имели никакой >>>возможности "пробится" к адресам випов >> >>http://www.google.com.ru/search?q=freebsd+vlan+howto&ie=UTF-8&oe=UTF-8&hl=ru&lr= >> >>vlan и vpn это вообще нескольно разные понятия. > >Тогда по крайней мере скажи мне.. что м моем случае может помочь >и как в краце это сделать... >Заранее благодарен... А виланом получается аналогично только поднимаешь не алиас а два вилана и ставишь свич поддерживающий виланы, а так как все на одних кабелях то один порт транк на маршрутизатор другой порт для двух виланов одновременно и получаешь две сети
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "VLAN для определенного пользователя"
	Сообщение от Psy on 18-Ноя-03, 13:27  (MSK)
	> >Ну ты не прав, как ты не прав... напрямую сети никак не >связаны, общение между сетями идут исключительно через маршрутизатор > В принципе, если это так, то это то, что мне нужно.. вообщем сегодня попробую...что получится отпишу...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "VLAN для определенного пользователя"
	Сообщение от Psy on 18-Ноя-03, 14:48  (MSK)
	Вот вопрос... , а что собственно получится, если вдруг кто-либо возьмет и пропишет себе адрес из виповской подсети и спокойно начнет обращаться к хосту к випам как к своим?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "VLAN для определенного пользователя"
	Сообщение от Psy on 19-Ноя-03, 12:46  (MSK)
	>Вот вопрос... , а что собственно получится, если вдруг кто-либо возьмет и >пропишет себе адрес из виповской подсети и спокойно начнет обращаться к >хосту к випам как к своим? Кто что думает насчет последнего момента?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "VLAN для определенного пользователя"
	Сообщение от A Clockwork Orange on 19-Ноя-03, 12:57  (MSK)
	Создавай статические таблицы arp Потом от тебя последует вопрос а если начнут mac подменять Вообщем разделяй сеть физически, свич управляемый кадому пользователю по порту с фиксированным mac  статические таблицы, и т.д
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "VLAN для определенного пользователя"
	Сообщение от Nightman on 19-Ноя-03, 13:03  (MSK)
	>>Вот вопрос... , а что собственно получится, если вдруг кто-либо возьмет и >>пропишет себе адрес из виповской подсети и спокойно начнет обращаться к >>хосту к випам как к своим? > > >Кто что думает насчет последнего момента? Проложить сегмент /30 между раутером и VIP клиентом и заслонить его фаирволом
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "VLAN для определенного пользователя"
	Сообщение от Psy on 19-Ноя-03, 13:46  (MSK)
	> >Проложить сегмент /30 между раутером и VIP клиентом и заслонить его фаирволом > Что-то я недопонял по части /30, что это занчит? Кстати, а что насчет маски? Если допустим, я сделаю вип подсеть, в которой у меня 4 клиента и их адреса, например: 192.168.20.2,3,4,5, gateway 192.168.20.1; можно ли в этом случае маской ограничить размер подсети до пяти адресов, то есть, чтобы других бы просто бы несуществовало.. верно ли, что в таком случае, если какой-нибудь кадр поставит себе адрес 192.168.20.6, то достучаться ни до одного из випов не сможет?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "VLAN для определенного пользователя"
	Сообщение от Nightman on 19-Ноя-03, 13:56  (MSK)
	>> >>Проложить сегмент /30 между раутером и VIP клиентом и заслонить его фаирволом >> >Что-то я недопонял по части /30, что это занчит? > >Кстати, а что насчет маски? Если допустим, я сделаю вип подсеть, в >которой у меня 4 клиента и их адреса, например: 192.168.20.2,3,4,5, gateway >192.168.20.1; можно ли в этом случае маской ограничить размер подсети до >пяти адресов, то есть, чтобы других бы просто бы несуществовало.. > >верно ли, что в таком случае, если какой-нибудь кадр поставит себе адрес >192.168.20.6, то достучаться ни до одного из випов не сможет? Выделяешь минимальную подсеть для 4 лиентов это /29 - 8 адресов 1- ушел на сеть 1-ушел на broadcast 1- ушел на раутер 4 на клиента остально банишь на уровне arp arp -s < ip > 0:0:0:0:0:0 pub
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "VLAN для определенного пользователя"
	Сообщение от Psy on 19-Ноя-03, 15:18  (MSK)
	>остально банишь на уровне arp >arp -s < ip > 0:0:0:0:0:0 pub Для очистки совести: правильно ли я понял, что остальные - это один последний оставшийся из тех восьми, что мы выделяли? вопрос 2: если будет нужно 10 адресов, маска будет /31 или /27 вопрос 3: как обозначить сеть на 8 адресов маской типа 255.255.255.. Спасибо..
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "VLAN для определенного пользователя"
	Сообщение от Psy on 19-Ноя-03, 16:20  (MSK)
	Пытаюсь тему поддержать...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	16. "VLAN для определенного пользователя"
	Сообщение от Gray on 19-Ноя-03, 19:41  (MSK)
	>Пытаюсь тему поддержать... Если я тебя правильно понял, то тебе надо сделать vlan'ы и все будет кучеряво. Для этого тебе понадобиться: 1. свич с поддержкой vlan (например Allied Telesyn AT-8024, D-Link DES-3226 или если много денег есть, то Catalyst - на нем заодно можно будет и порты к MAC-адресам клиентов привязать, чтоб уж совсем не умничали...) 2. Сетевая карта с поддержкой vlan под FreeBSD (лично у меня все работало и на обычной rl0 - т.е. людая карта с чипсетом Realtek 8139x, пробовал также еще fxp0). 3. Далее необходимо создать 2 влана на свиче: один для випов, другой для невипов... Например делаем влан для випов с ID 2 и включаем туда порты со 2-го по 10-й. Они должны быть простыми (т.е. untagged). Для невипов делаем влан с ID 3 и включаем туда порты с 11-го по 15-й, также untagged. Порт в который включается сервер FreeBSD, например 1-й должен входить в оба этих влана, НО УЖЕ КАК tagged (т.е. пакеты проходящие через него, должны маркироваться, к какому влану они принадлежат. 4. Настраиваем FreeBSD (пусть это будет интерфейс rl0). Сначала нужно пересобрать ядро с поддержкой vlan. После того как оно заработает.... ifconfig rl0 up ifconfig vlan0 plumb ifconfig vlan0 vlan 2 vlandev rl0 ifconfig vlan0 192.168.10.1 netmask 255.255.255.128 ifconfig vlan1 plumb ifconfig vlan1 vlan 3 vlandev rl0 ifconfig vlan1 192.168.10.129 netmask 255.255.255.128 Т.о. мы получим сеть 192.168.10.0/25 для випов подключенных в портах свича со 2-го по 10-й и адресом шлюза для них 192.168.10.1 и сеть 192.168.10.128/25 для невипов подключенных в портах свича с 11-го по 15-й и адресом шлюза для них 192.168.10.129. Т.е. как бы две сети на двух разных интерфейсах (vlan0 для випов и vlan1 для невипов). Далее пакеты между этими сетями смогут ходить только через FreeBSD-роутер. Ну а на нем с помощью ipfw уже можно ограничивать все остальное, например ipfw deny all from 192.168.10.0/25 to 192.168.10.128/25 т.е. запретить хождение пакетов межу этими сетями... Если поставить ipfw2 то можно вообще на уровне MAC-адресов правила составлять, но это уже на любителя...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	17. "VLAN для определенного пользователя"
	Сообщение от Nightman on 20-Ноя-03, 05:58  (MSK)
	>>остально банишь на уровне arp >>arp -s < ip > 0:0:0:0:0:0 pub > >Для очистки совести: правильно ли я понял, что остальные - это один >последний оставшийся из тех восьми, что мы выделяли? > >вопрос 2: если будет нужно 10 адресов, маска будет /31 или /27 > > >вопрос 3: как обозначить сеть на 8 адресов маской типа 255.255.255.. > >Спасибо.. 1. Так точно 2&3 маска будет 28 начнем с сетевых азов /30=255.255.255.252=4ip в сегм /29=255.255.255.248=8ip /28=255.255.255.224=16ip .. и т.д означает кол-во 1ек в маске если см бинарную интертрепацию :-) Я думаю тот способ будет подешевле чем покупать свитч с поддержкой vlan. Вообщем я свой вариант предложил. Он работает.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	18. "VLAN для определенного пользователя"
	Сообщение от Psy on 20-Ноя-03, 09:50  (MSK)
	Всем большое человеческое спасибо за ответы... попробую разные варианты, думаю хоть один, но подойдет...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	19. "VLAN для определенного пользователя"
	Сообщение от A Clockwork Orange on 20-Ноя-03, 11:26  (MSK)
	Самый главный вопрос какими средствами собираешься все это делать
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.