Iptables + vlan (Изоляция)

[lastelf]

Доброго времени суток. У меня назрел вопрос по поводу "изоляции" vlan-a от других виртуальных интерфейсов (vlan-ов) средствами iptables.
На данный момент пробовал закрыть следующим правилом но к сожалению безуспешно(

Код: [Выделить]

$IPTABLES -A FORWARD -p all -i vlan+ -o vlan+ -j DROPДля FORWARD по умолчанию тоже DROP
Заранее спасибо)

[Unreg]

$ /sbin/ifconfig vlan15|grep inet
          inet addr:172.18.1.1  Bcast:172.18.1.255  Mask:255.255.255.0
$ /sbin/ifconfig vlan25|grep inet
          inet addr:172.18.2.1  Bcast:172.18.2.255  Mask:255.255.255.0

iptables -I FORWARD -s 172.18.1.0/24 -d 172.18.2.0/24 -j DROP
iptables -I FORWARD -s 172.18.2.0/24 -d 172.18.1.0/24 -j DROP

[lastelf]

В принципе как вариант, но с сожалению у меня порядка 35-ов , думаю для каждого прописывать запрет на остальные 34 подсети получиться накладно((
Пользователь решил продолжить мысль 17 Январь 2011, 19:30:51:Хотя если только

Код: [Выделить]

iptables -I FORWARD -s 192.168.1.0/24 -d 192.168.1.1/24 -j ACCEPT.........

Код: [Выделить]

iptables -I FORWARD -s 192.168.1.0/16 -d 192.168.1.1/16 -j DROP

[AnrDaemon]

Если у тебя первым правилом стоит "RELATED,ESTABLISHED ACCEPT", то всё, что дальше него, будет срабатывать настолько редко, что накладные расходу окажутся минимальными.

[malinich]

plis, pomogite....

y menya dve seti vlan 1, i vlan2, neobhodimo chtobi ubuntu vlan 1 perebrasivala na eth2, a vlan 2 na squid (on stoit na eth0 -port 3128 ) a zatem cherez eth2 v internet
vot ssilka so shemoy
http://s51.ЗАПРЕЩЁННЫЙ РЕСУРС/i132/1112/c9/076ce4253674.jpg

На форуме ЗАПРЕЩЕНО
2.8. Использовать транслит и чрезмерное количество заглавных букв в сообщениях. Уважайте тех, кому придётся читать то, что вы написали. Если у вас нет возможности печатать на русском, используйте специальные сайты-транслитераторы (например, translit.ru) или виртуальные клавиатуры.

Руководство по добавлению изображений на форум

--andrew_bye

[AnrDaemon]

1. Пишите по-русски.
2. Есть правила публикации рисунков на форуме.

[malinich]

извините..... вот  обновленный  вариант:


у меня две сети  vlan 1, и vlan 2 (эти сети назначены в точке доступа d-link dwl-2100AP),а необходимо чтобы ubuntu: vlan 1 перебрасивала на eth2, а vlan 2 на squid (он стоит на eth0 -порт 3128 ), а затем через eth2 в интернет.
вот ссилка со схемой

проблема усугубляется тем, что d-link прописывает к vlan сети id, а для прописи в linux используется или vlan000Х или как eth0.X, вообще плиз скажите как быть.

[Гарри Кашпировский]

Какие в сети используются свитчи?

[malinich]

обычные d-link

[Гарри Кашпировский]

Т.е неуправляемые?

[malinich]

ага, самые простые (15 портовые)
Пользователь решил продолжить мысль 28 Декабрь 2011, 16:26:36:всю машрутизацию выполняет ubuntu
плиз, есть какие-либо соображения, (

[Гарри Кашпировский]

Плохо. При такой схеме сделать как ты хочешь получится  только вполовину.
Если трафик от vlan2 получится перенаправить в squid, то объеденить eth2 и vlan1 в L2 не получится, только L3.
Поэтому без перестроения сети соображения примерно такие :
- Присвоить vlan с ID 1 какой-нибудь другой ID, некоторые коммутаторы считают, что vlan с 1-ым ID - нетегированный.
- Выдедить две отдельные подсети для vlan's DWL-2100AP
- Одну iptables'ами натравить на squid, вторую смаршрутизировать с eth0.
- Быть готовым к тому, что придет провайдер и настучит по голове за такую сеть.

[malinich]

==))
ладно попробую на работе, =)что-нить должно да получиться отпишусь по мере возникновения проблем ...)