Всем доброго времени суток!
Ситуация следующая:
Имеется школа, в ней находится сервер c ubuntu server 18.04.3 на борту и провайдер хочет(требует) следующую настройку сети(для фильтрации трафика):
У нас есть 4 VLAN’а:
VLAN 20 (порты 7—12 и 31—36) для подключения учебных классов;
VLAN 30 (порты 13—21 и 37—45) для подключения компьютеров преподавателей;
VLAN 40 (порты 1—6 и 25—30) для подключения администрации ОУ;
VLAN 1 (порты 22—24 и 46—48) для подключения существующих серверов.
На портах VLAN 20, 30, 40 настроен DHCP, который присваивает IP-адреса из подсетей 192.168.20.0/24, 192.168.30.0/24, 192.168.40.0/24 соответственно.
В портах VLAN 1 не настроен DHCP, и в них необходимо использовать IP-адреса из подсети 10.23.69.192/27.
На сервере включен NAT, который транслирует IP-адреса из подсетей 192.168.хх.хх в IP-адреса из подсети 10.23.69.192/27.
За каждым IP-адресом из подсетей 192.168.20.0/24, 192.168.30.0/24, 192.168.40.0/24 зарезервированы IP-адреса из подсети 10.23.69.192/27, а именно:
за IP-адресами из подсети 192.168.20.0/24 закреплён адрес 10.23.69.200;
за IP-адресами из подсети 192.168.30.0/24 закреплён адрес 10.23.69.201;
за IP-адресами из подсети 192.168.40.0/24 закреплён адрес 10.23.69.202.
Настройки сети следующие
network:
ethernets:
enp1s0f0:
dhcp4: no
dhcp6: no
bonds:
bond0:
dhcp4: no
interfaces: [enp1s0f0]
parameters:
mode: 802.3ad
mii-monitor-interval: 1
vlans:
vlan1:
id: 1
link: bond0
dhcp4: no
addresses: [10.23.69.199/27, 10.23.69.200/27, 10.23.69.201/27, 10.23.69.202/27]
gateway4: 10.23.69.193
nameservers:
addresses: [212.192.128.3, 212.192.128.4]
vlan20:
id: 20
link: bond0
dhcp4: no
addresses: [192.168.20.1/24]
vlan30:
id: 30
link: bond0
dhcp4: no
addresses: [192.168.30.1/24]
vlan40:
id: 40
link: bond0
dhcp4: no
addresses: [192.168.40.1/24]
version: 2Модем имеет адрес 10.23.69.193/27
Подняты DHCP серверы, адреса раздаются нормально...
Поднят NAT следующим образом
iptables -F
iptables -t nat -F
iptables -t nat -I POSTROUTING -s 192.168.20.0/24 -j MASQUERADE
iptables -t nat -I POSTROUTING -s 192.168.30.0/24 -j MASQUERADE
iptables -t nat -I POSTROUTING -s 192.168.40.0/24 -j MASQUERADE
В интернет все ходят все хорошо, но только весь трафик проходит через первый адрес указанный в vlan1 (а провайдер хочет на каждую подсеть свой адрес).
Возникает вопрос над которым я бьюсь уже несколько дней как реализовать вот этот пункт:
За каждым IP-адресом из подсетей 192.168.20.0/24, 192.168.30.0/24, 192.168.40.0/24 зарезервированы IP-адреса из подсети 10.23.69.192/27, а именно:
за IP-адресами из подсети 192.168.20.0/24 закреплён адрес 10.23.69.200;
за IP-адресами из подсети 192.168.30.0/24 закреплён адрес 10.23.69.201;
за IP-адресами из подсети 192.168.40.0/24 закреплён адрес 10.23.69.202.
и ограничить видимость между vlan20, vlan30, vlan40?
Буду очень признателен за помощь!
Всех заранее благодарю!
Пользователь добавил сообщение 09 Сентября 2019, 14:48:02:
Решил данный вопрос, прописав настройку iptables:
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -P INPUT DROP
iptables -A INPUT -m contrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.20.0/24 -j SNAT --to-source 10.23.69.200
iptables -t nat -A POSTROUTING -s 192.168.30.0/24 -j SNAT --to-source 10.23.69.201
iptables -t nat -A POSTROUTING -s 192.168.40.0/24 -j SNAT --to-source 10.23.69.202
Тема: Маршрутизация на разные адреса одного vlan'а (Прочитано 985 раз)
